平台
wordpress
组件
csv-to-sorttable
修复版本
4.2.1
CVE-2025-13070 描述了 CSV to SortTable WordPress 插件中存在的一个本地文件包含 (LFI) 漏洞。该漏洞允许经过身份验证的用户(例如贡献者)通过操纵短代码属性来读取服务器上的任意文件,从而可能泄露敏感信息。该漏洞影响版本 0 到 4.2 之间的插件。建议用户尽快升级到修复版本或实施缓解措施。
攻击者可以利用此 LFI 漏洞读取 WordPress 网站上的任意文件。这可能包括包含数据库凭据、配置文件或源代码的文件。成功利用此漏洞可能导致敏感信息泄露、代码执行甚至服务器完全控制。由于该漏洞需要身份验证,因此攻击者必须首先获得对 WordPress 网站的访问权限,例如通过弱密码或凭据填充攻击。该漏洞的潜在影响取决于服务器上可访问的文件以及攻击者能够利用这些文件执行的操作。
该漏洞已公开披露,并且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录中。公开的 PoC 尚未发现,但漏洞的性质表明攻击者可能已经开发或正在开发利用代码。
Websites using the CSV to SortTable WordPress plugin, particularly those with multiple contributors or users with elevated privileges, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "include(..)" /var/www/html/wp-content/plugins/csv-to-sorttable/• wordpress / composer / npm:
wp plugin list --status=all | grep 'csv-to-sorttable'• wordpress / composer / npm:
wp plugin update csv-to-sorttable• generic web: Check WordPress plugin directory for updated versions and security advisories.
disclosure
漏洞利用状态
EPSS
0.08% (24% 百分位)
CVSS 向量
解决此漏洞的首要措施是升级到修复后的 CSV to SortTable WordPress 插件版本。如果无法立即升级,可以考虑以下缓解措施:限制对 WordPress 插件的访问权限,仅允许受信任的用户进行访问。实施 Web 应用防火墙 (WAF) 规则,以阻止包含恶意短代码属性的请求。审查 WordPress 插件的短代码实现,确保对所有用户输入进行适当的验证和清理。此外,定期扫描 WordPress 网站,以查找已知的漏洞。
没有已知的补丁可用。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-13070 是一个本地文件包含 (LFI) 漏洞,影响 CSV to SortTable WordPress 插件 0 到 4.2 版本。攻击者可以利用此漏洞读取服务器上的任意文件。
如果您正在使用 CSV to SortTable WordPress 插件版本 0 到 4.2,则您可能受到此漏洞的影响。请立即升级到修复版本。
升级到 CSV to SortTable WordPress 插件的最新版本。如果无法升级,请实施缓解措施,例如限制对插件的访问权限和实施 WAF 规则。
虽然目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。
请访问 CSV to SortTable 插件的官方网站或 WordPress 插件目录,以获取有关此漏洞的官方公告和修复信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。