免费扫描
分析待定CVE-2025-9987

CVE-2025-9987: 信息泄露 in Broadstreet WordPress 插件

平台

wordpress

组件

broadstreet

修复版本

1.53.2

在NVD查看
保存

CVE-2025-9987 是 Broadstreet WordPress 插件中的一个信息泄露漏洞。该漏洞允许经过身份验证的攻击者(具有订阅者级别或更高权限)通过 getsponsoredmeta() AJAX 操作提取敏感数据,例如受密码保护和私有业务详情。此漏洞影响 Broadstreet 插件版本 1.0.0 至 1.53.1。建议用户尽快升级至 1.53.2 版本以修复此安全问题。

WordPress

检测此 CVE 是否影响你的项目

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描

影响与攻击场景

攻击者利用此漏洞可以访问 Broadstreet 插件中存储的敏感业务数据。这些数据可能包括商业机密、财务信息、客户数据或其他敏感信息。攻击者可以利用这些信息进行商业间谍活动、勒索或身份盗窃。由于该漏洞需要身份验证,攻击者通常需要获得 WordPress 网站的订阅者级别或更高的权限才能利用此漏洞。然而,如果攻击者已经获得了较低级别的访问权限,则此漏洞可以作为进一步攻击的跳板,从而导致更严重的损害。

利用背景

目前尚无公开的漏洞利用代码 (POC)。根据 NVD 和 CISA 的发布日期(2026-05-13),此漏洞的风险评估仍在进行中。由于该漏洞需要身份验证,因此被认为具有中等风险,但如果攻击者已经获得了较低级别的访问权限,则风险可能会增加。建议持续关注安全社区的最新动态,以获取有关此漏洞的更多信息。

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露
Reports1 threat report

CISA SSVC

Exploitationnone
Automatableyes
Technical Impactpartial

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N5.3MEDIUMAttack VectorNetwork攻击者如何到达目标Attack ComplexityLow利用漏洞所需的条件Privileges RequiredNone攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeUnchanged超出受影响组件的影响范围ConfidentialityLow敏感数据泄露风险IntegrityNone数据未授权篡改风险AvailabilityNone服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
低 — 无需特殊条件,可以稳定地利用漏洞。
Privileges Required
无 — 无需认证,无需凭证即可利用。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
未改变 — 影响仅限于脆弱组件本身。
Confidentiality
低 — 可访问部分数据。
Integrity
无 — 无完整性影响。
Availability
无 — 无可用性影响。

受影响的软件

组件broadstreet
供应商wordfence
最低版本1.0.0
最高版本1.53.1
修复版本1.53.2

弱点分类 (CWE)

CWE-200

时间线

  1. Reserved
  2. 发布日期

缓解措施和替代方案

最有效的缓解措施是立即将 Broadstreet WordPress 插件升级至 1.53.2 或更高版本。如果由于兼容性问题无法立即升级,可以考虑以下临时缓解措施:限制用户权限,确保只有授权用户才能访问 WordPress 后台。实施 Web 应用防火墙 (WAF) 规则,以阻止对 getsponsoredmeta() AJAX 操作的恶意请求。监控 WordPress 日志,以检测任何可疑活动,例如对敏感数据的异常访问尝试。在升级后,请确认插件已成功更新到最新版本,并检查 WordPress 网站是否存在任何异常行为。

修复方法

更新到 1.53.2 版本,或更新的补丁版本

常见问题

什么是 CVE-2025-9987 — 信息泄露 in Broadstreet WordPress 插件?

CVE-2025-9987 是 Broadstreet WordPress 插件中的一个信息泄露漏洞,允许攻击者通过 getsponsoredmeta() AJAX 操作提取敏感数据。该漏洞影响版本 1.0.0–1.53.1,CVSS 评分为中等 (5.3)。

我是否受到 CVE-2025-9987 in Broadstreet WordPress 插件的影响?

如果您正在使用 Broadstreet WordPress 插件的版本 1.0.0–1.53.1,则您可能受到此漏洞的影响。请立即升级至 1.53.2 或更高版本。

如何修复 CVE-2025-9987 in Broadstreet WordPress 插件?

修复此漏洞的最佳方法是立即将 Broadstreet WordPress 插件升级至 1.53.2 或更高版本。如果无法立即升级,请考虑实施临时缓解措施,例如限制用户权限和实施 WAF 规则。

CVE-2025-9987 是否正在被积极利用?

目前尚无公开的漏洞利用代码,但建议持续关注安全社区的最新动态,以获取有关此漏洞的更多信息。

在哪里可以找到官方 Broadstreet 插件关于 CVE-2025-9987 的公告?

请访问 Broadstreet 插件的官方网站或 WordPress 插件目录,以获取有关此漏洞的官方公告和更新。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE
WordPress

检测此 CVE 是否影响你的项目

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描
live免费扫描

立即扫描您的WordPress项目 — 无需账户

上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始:拥有账户后,您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。

手动扫描Slack/邮件提醒持续监控白标报告

拖放您的依赖文件

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...