無料スキャン
MEDIUMCVE-2025-12590CVSS 6.1

YSlider <= 1.1 - クロスサイトリクエストフォージェリによる格納型クロスサイトスクリプティング

プラットフォーム

wordpress

コンポーネント

yslider

修正版

1.1.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月
NVDで見る
保存
あなたの言語に翻訳中…

CVE-2025-12590 describes a Cross-Site Scripting (XSS) vulnerability within the YSlider plugin for WordPress. This flaw allows unauthenticated attackers to inject arbitrary web scripts, potentially compromising user data and website functionality. The vulnerability affects versions 0.0.0 through 1.1 and can be exploited through a forged request tricking an administrator. A fix is available via plugin update.

WordPress

このCVEがあなたのプロジェクトに影響するか確認

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャン

影響と攻撃シナリオ翻訳中…

The primary impact of CVE-2025-12590 is the ability for an attacker to execute arbitrary JavaScript code within the context of a user's browser. This can lead to a variety of malicious actions, including session hijacking, defacement of the website, redirection to phishing sites, and theft of sensitive information such as login credentials or personal data. The vulnerability's reliance on a forged request means an attacker needs to convince an administrator to click a malicious link, making social engineering a key component of exploitation. Successful exploitation could severely damage a website's reputation and compromise user trust.

悪用の状況翻訳中…

CVE-2025-12590 was publicly disclosed on 2025-11-11. While no public proof-of-concept (PoC) code has been widely released, the vulnerability's nature and the ease of crafting forged requests suggest a moderate risk of exploitation. It is not currently listed on CISA KEV. Active campaigns targeting WordPress plugins are common, so vigilance is advised.

リスク対象者翻訳中…

Websites utilizing the YSlider plugin, particularly those with administrator accounts that are susceptible to social engineering attacks, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.

検出手順翻訳中…

• wordpress / composer / npm: Use wp-cli plugin update YSlider to check for updates. • wordpress / composer / npm: Inspect the plugin's code for missing nonce verification on the content configuration page. • generic web: Monitor access logs for suspicious requests to the plugin's configuration page, particularly those originating from unusual IP addresses.

grep -i 'YSlider' /var/log/apache2/access.log | grep -i 'content-configuration'

攻撃タイムライン

  1. Disclosure

    disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

EPSS

0.05% (15% パーセンタイル)

CISA SSVC

悪用状況none
自動化可能no
技術的影響partial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N6.1MEDIUMAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredNone攻撃に必要な認証レベルUser InteractionRequired被害者の操作が必要かどうかScopeChanged影響コンポーネント外への波及ConfidentialityLow機密データ漏洩のリスクIntegrityLow不正データ改ざんのリスクAvailabilityNoneサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
なし — 認証不要。資格情報なしで悪用可能。
User Interaction
必要 — 被害者がファイルを開く、リンクをクリックするなどのアクションが必要。
Scope
変化あり — 攻撃が脆弱なコンポーネントを超えて他のシステムに波及可能。
Confidentiality
低 — 一部データへの部分的アクセス。
Integrity
低 — 限定的な範囲でデータ変更可能。
Availability
なし — 可用性への影響なし。

影響を受けるソフトウェア

コンポーネントyslider
ベンダーandreaferracani
影響範囲修正版
0 – 1.11.1.1

弱点分類 (CWE)

CWE-352

タイムライン

  1. 予約済み
  2. 公開日
  3. 更新日
  4. EPSS 更新日
未パッチ — 公開から194日経過

緩和策と回避策翻訳中…

The most effective mitigation for CVE-2025-12590 is to immediately update the YSlider plugin to a version that addresses the vulnerability. If upgrading is not immediately feasible, consider implementing a Web Application Firewall (WAF) with rules to block suspicious requests targeting the content configuration page. Additionally, enforce strict input validation and output encoding on all user-supplied data within the plugin. Regularly review WordPress plugin configurations and ensure that only trusted plugins are installed. After upgrade, confirm by accessing the plugin's configuration page and verifying that no malicious scripts are injected.

修正方法

YSliderプラグインを修正されたバージョンにアップデートしてください。WordPressプラグインリポジトリまたは開発者のウェブサイトで利用可能なアップデートを確認してください。修正されたバージョンが示されていないため、詳細については開発者に連絡してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問翻訳中…

What is CVE-2025-12590 — XSS in YSlider WordPress Plugin?

CVE-2025-12590 is a Cross-Site Scripting vulnerability in the YSlider WordPress plugin, allowing attackers to inject malicious scripts via forged requests.

Am I affected by CVE-2025-12590 in YSlider WordPress Plugin?

If you are using YSlider plugin versions 0.0.0 through 1.1, you are potentially affected by this vulnerability.

How do I fix CVE-2025-12590 in YSlider WordPress Plugin?

Update the YSlider plugin to the latest version, or implement a WAF to block suspicious requests.

Is CVE-2025-12590 being actively exploited?

While no public PoC exists, the vulnerability's nature suggests a moderate risk of exploitation, especially given common WordPress plugin targeting.

Where can I find the official YSlider advisory for CVE-2025-12590?

Check the YSlider plugin's official website or WordPress plugin repository for updates and security advisories.

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索