免费扫描
HIGHCVE-2025-22332CVSS 7.1

WordPress CloudFlare(R) Cache Purge 插件 <= 1.2 - 反射型跨站脚本 (XSS) 漏洞

平台

wordpress

组件

cloudflare-cache-purge

修复版本

1.2.1

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月
在NVD查看
保存

CVE-2025-22332 描述了CloudFlare(R) Cache Purge 在网页生成过程中输入未正确中和导致的跨站脚本攻击(XSS)漏洞。该漏洞允许攻击者注入恶意脚本,可能导致用户会话劫持、数据泄露等安全问题。该漏洞影响CloudFlare(R) Cache Purge 的 0.0.0 至 1.2 版本。已发布补丁版本 1.2.1。

WordPress

检测此 CVE 是否影响你的项目

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描

影响与攻击场景

攻击者可以利用此XSS漏洞在受影响的CloudFlare(R) Cache Purge 插件中注入恶意脚本。攻击者可以通过构造恶意的URL参数或表单输入,将恶意JavaScript代码注入到网页中。当用户访问包含恶意脚本的页面时,脚本将在用户的浏览器中执行,攻击者可以窃取用户的Cookie、会话令牌或其他敏感信息,从而冒充用户执行操作。此外,攻击者还可以利用此漏洞重定向用户到恶意网站,或者在页面上显示虚假信息,进行欺诈活动。由于该插件通常用于缓存和清理CloudFlare的缓存,因此攻击者可能能够影响网站的可用性和性能。

利用背景

该漏洞已于2025年1月31日公开披露。目前尚未观察到大规模的利用活动,但由于XSS漏洞的普遍性,存在被利用的风险。建议密切关注安全社区的动态,并及时采取必要的安全措施。该漏洞的CVSS评分为7.1(高),表明其潜在影响较为严重。

哪些人处于风险中翻译中…

WordPress websites utilizing the shanaver CloudFlare Cache Purge plugin, particularly those running older, unpatched versions (0.0.0–1.2), are at risk. Shared hosting environments where plugin updates are managed centrally may also be vulnerable if they haven't applied the patch.

检测步骤翻译中…

• wordpress / composer / npm:

grep -r 'shanaver CloudFlare Cache Purge' /wp-content/plugins/
wp plugin list | grep 'cloudflare-cache-purge'

• generic web:

curl -I 'https://example.com/?param=<script>alert(1)</script>' | grep 'Content-Security-Policy'

攻击时间线

  1. Disclosure

    disclosure

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露

EPSS

0.08% (23% 百分位)

CISA SSVC

利用情况none
可自动化no
技术影响partial

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L7.1HIGHAttack VectorNetwork攻击者如何到达目标Attack ComplexityLow利用漏洞所需的条件Privileges RequiredNone攻击所需的认证级别User InteractionRequired是否需要受害者采取行动ScopeChanged超出受影响组件的影响范围ConfidentialityLow敏感数据泄露风险IntegrityLow数据未授权篡改风险AvailabilityLow服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
低 — 无需特殊条件,可以稳定地利用漏洞。
Privileges Required
无 — 无需认证,无需凭证即可利用。
User Interaction
需要 — 受害者必须打开文件、点击链接或访问特制页面。
Scope
已改变 — 攻击可以超出脆弱组件,影响其他系统。
Confidentiality
低 — 可访问部分数据。
Integrity
低 — 攻击者可修改部分数据,影响有限。
Availability
低 — 部分或间歇性拒绝服务。

受影响的软件

组件cloudflare-cache-purge
供应商shanaver
影响范围修复版本
0.0.0 – 1.21.2.1

弱点分类 (CWE)

CWE-79

时间线

  1. 已保留
  2. 发布日期
  3. 修改日期
  4. EPSS 更新日期

缓解措施和替代方案

修复此漏洞的首要措施是立即升级CloudFlare(R) Cache Purge 插件至 1.2.1 或更高版本。如果无法立即升级,可以考虑回滚到之前的稳定版本,但需要评估回滚对网站功能的影响。此外,可以实施Web应用防火墙(WAF)规则,以检测和阻止包含恶意脚本的请求。还可以对用户输入进行严格的验证和过滤,以防止恶意代码的注入。建议定期审查插件配置,确保其安全性。

修复方法

将 CloudFlare(R) Cache Purge 插件更新到可用的最新版本以缓解 XSS 漏洞。请在 WordPress.org 上检查插件页面以获取最新版本和更新说明。此外,审查并清理用于生成 Web 内容的任何用户输入。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是CVE-2025-22332 — XSS 在 CloudFlare(R) Cache Purge?

CVE-2025-22332 是 CloudFlare(R) Cache Purge 插件中发现的跨站脚本攻击(XSS)漏洞,允许攻击者注入恶意脚本。

我是否受到 CVE-2025-22332 在 CloudFlare(R) Cache Purge 的影响?

如果您的CloudFlare(R) Cache Purge 插件版本在 0.0.0 至 1.2 之间,则您可能受到影响。

如何修复 CVE-2025-22332 在 CloudFlare(R) Cache Purge?

升级CloudFlare(R) Cache Purge 插件至 1.2.1 或更高版本以修复此漏洞。

CVE-2025-22332 是否正在被积极利用?

目前尚未观察到大规模的利用活动,但存在被利用的风险。

在哪里可以找到 CloudFlare(R) Cache Purge 官方关于 CVE-2025-22332 的公告?

请查阅CloudFlare(R) Cache Purge 官方网站或相关安全公告以获取更多信息。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE