平台
wordpress
组件
wp-job-manager
修复版本
2.0.1
CVE-2023-52212 描述了 WP Job Manager 插件中的跨站请求伪造 (CSRF) 漏洞。该漏洞允许攻击者在用户不知情的情况下执行未经授权的操作,可能导致数据泄露或恶意修改。此问题影响 WP Job Manager 的 n/a 到 2.0.0 版本。已发布 2.0.1 版本以修复此漏洞。
攻击者可以利用此 CSRF 漏洞伪造用户的请求,从而执行各种恶意操作。例如,攻击者可以创建新的职位发布、编辑现有职位、修改用户设置或执行其他管理任务,而无需用户的明确授权。如果攻击者能够诱使用户点击恶意链接或访问恶意网站,则可以利用此漏洞。成功利用此漏洞可能导致敏感信息泄露、网站功能被滥用,甚至可能导致网站被完全控制。
目前尚未公开发现针对此漏洞的利用代码。该漏洞已于 2026-01-05 公开披露。由于是 CSRF 漏洞,攻击难度相对较低,但需要诱导用户进行操作。建议密切关注安全社区的动态,以获取最新的威胁情报。
Websites using the WP Job Manager plugin, particularly those with user accounts and job posting functionality, are at risk. Shared hosting environments where plugin updates are managed centrally are especially vulnerable if they haven't applied the update. Sites with legacy WordPress installations or those that haven't implemented robust security practices are also at increased risk.
• wordpress / composer / npm:
grep -r 'wp_job_manager' /var/www/html/wp-content/plugins/
wp plugin list | grep wp-job-manager• generic web:
curl -I https://example.com/wp-admin/admin-ajax.php?action=wp_job_manager_some_action&nonce=malicious_noncedisclosure
漏洞利用状态
EPSS
0.05% (15% 百分位)
CISA SSVC
CVSS 向量
为了缓解 CVE-2023-52212 的影响,建议立即将 WP Job Manager 升级到 2.0.1 或更高版本。如果无法立即升级,可以考虑实施一些临时缓解措施,例如使用 Web 应用防火墙 (WAF) 来过滤恶意请求,或在关键操作中添加 CSRF 令牌。此外,建议定期审查插件的权限设置,并确保用户对插件的访问权限受到适当限制。
将 WP Job Manager 插件更新到最新可用版本。CSRF 漏洞允许攻击者代表经过身份验证的用户执行未经授权的操作。更新可以修复此漏洞。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2023-52212 是 WP Job Manager 插件中发现的跨站请求伪造 (CSRF) 漏洞,允许攻击者在未经授权的情况下执行操作。
如果您正在使用 WP Job Manager 的 n/a 到 2.0.0 版本,则您可能受到此漏洞的影响。请立即升级到 2.0.1 或更高版本。
升级到 WP Job Manager 2.0.1 或更高版本以修复此漏洞。
目前尚未公开发现针对此漏洞的利用代码,但由于其性质,存在被利用的风险。
请访问 WP Job Manager 的官方网站或 GitHub 仓库,以获取有关此漏洞的官方公告和修复信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。