HIGHCVE-2025-12879CVSS 8.8

用户生成器和导入器 <= 1.2.2 - 通过任意管理员帐户创建实现跨站请求伪造到权限提升

Q: 什么是 CVE-2025-12879 — 权限提升漏洞在 WordPress User Generator and Importer?

CVE-2025-12879 是 WordPress User Generator and Importer 插件中发现的跨站请求伪造 (CSRF) 漏洞，允许攻击者提升用户权限。

Q: 我是否受到 CVE-2025-12879 在 WordPress User Generator and Importer 的影响?

如果您正在使用 WordPress User Generator and Importer 插件的 1.0.0 至 1.2.2 版本，则可能受到影响。

Q: 我如何修复 CVE-2025-12879 在 WordPress User Generator and Importer?

建议升级到已修复的版本。如果无法升级，请实施 Web 应用防火墙 (WAF) 或其他缓解措施。

Q: CVE-2025-12879 是否正在被积极利用?

虽然目前没有公开的利用代码，但由于漏洞的严重性，存在被利用的风险。

Q: 在哪里可以找到 WordPress 官方关于 CVE-2025-12879 的公告?

请访问 WordPress 官方网站或安全公告页面，查找有关此漏洞的官方公告。

平台

wordpress

组件

user-importer-and-generator

修复版本

1.2.3

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-12879 描述了 WordPress User Generator and Importer 插件中的一个权限提升漏洞。该漏洞源于“使用 CSV 文件导入”功能中缺少 nonce 验证，允许未经身份验证的攻击者通过伪造请求提升用户权限。此漏洞影响 1.0.0 至 1.2.2 版本。建议用户尽快升级到已修复的版本或采取适当的缓解措施。

影响与攻击场景

该漏洞允许攻击者通过诱导管理员点击恶意链接来创建具有管理员权限的任意用户帐户。攻击者可以利用此漏洞完全控制受影响的 WordPress 站点，包括访问和修改敏感数据、安装恶意软件以及执行其他恶意活动。由于 WordPress 广泛使用，该漏洞的影响范围可能非常广泛。攻击者可以利用此漏洞窃取用户凭据、篡改网站内容，甚至完全控制整个服务器。这种攻击模式类似于其他利用 CSRF 漏洞的攻击，但由于其直接导致权限提升，因此危害性更大。

利用背景

目前没有公开的利用代码 (PoC)，但该漏洞的严重性较高，且易于利用，因此存在被利用的风险。该漏洞已添加到 CISA KEV 目录中，表明其被认为具有较高的威胁。建议用户密切关注安全公告，并及时采取缓解措施。

哪些人处于风险中翻译中…

WordPress sites using the User Generator and Importer plugin in versions 1.0.0 through 1.2.2 are at risk. Shared hosting environments that utilize this plugin are particularly vulnerable, as they may not have the ability to quickly update plugins or implement custom security measures. Sites with a large number of administrators are also at increased risk, as the likelihood of an administrator clicking on a malicious link increases.

检测步骤翻译中…

• wordpress: Use wp-cli to check the plugin version:

wp plugin list --status=active | grep 'User Generator and Importer'

• wordpress: Search plugin files for the vulnerable function: grep -r "Import Using CSV File" /path/to/wordpress/wp-content/plugins/user-generator-and-importer/ • generic web: Monitor access logs for requests to the import endpoint with unusual parameters or originating from unexpected IP addresses. • generic web: Check response headers for the presence of a strong Content Security Policy (CSP) header.

攻击时间线

2025-12-05Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.02% (6% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

CVSS 向量

受影响的软件

组件user-importer-and-generator

供应商wordfence

影响范围修复版本

0 – 1.2.21.2.3

弱点分类 (CWE)

CWE-352

时间线

已保留2025-11-07
发布日期2025-12-05
修改日期2026-04-08
EPSS 更新日期2026-03-23

未修复 — 披露已170天

缓解措施和替代方案

最有效的缓解措施是升级到已修复的版本。如果无法立即升级，可以考虑以下临时缓解措施：实施严格的输入验证，确保所有用户输入都经过适当的清理和验证。使用 Web 应用防火墙 (WAF) 或反向代理来检测和阻止 CSRF 攻击。限制管理员帐户的权限，减少攻击者利用漏洞的潜在影响。此外，可以考虑使用 WordPress 安全插件来增强站点的安全性。升级后，请确认通过检查用户帐户列表，确保没有未经授权的管理员帐户被创建。

修复方法

没有已知的补丁可用。请深入审查漏洞的详细信息，并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-12879 — 权限提升漏洞在 WordPress User Generator and Importer?