平台
wordpress
组件
web-to-sugarcrm-lead
修复版本
1.0.1
CVE-2025-13361描述了Web to SugarCRM Lead WordPress插件中的跨站请求伪造(CSRF)漏洞。该漏洞允许未经身份验证的攻击者通过伪造请求删除自定义字段,从而对站点造成潜在危害。该漏洞影响所有版本,包括1.0.0版本。已发布1.0.1版本进行修复。
攻击者可以利用此CSRF漏洞,通过诱导站点管理员点击恶意链接,伪造请求删除自定义字段。这可能导致数据丢失、配置更改,甚至可能被用于进一步攻击。如果自定义字段包含敏感信息,攻击者可能获取这些信息。由于WordPress插件的广泛使用,该漏洞的潜在影响范围广泛,可能影响大量网站。
该漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于WordPress插件的广泛使用,该漏洞可能成为攻击者的目标。建议密切关注安全社区的动态,并及时采取措施。
Websites utilizing the Web to SugarCRM Lead plugin for WordPress integration, particularly those with shared administrator accounts or those that are frequently targeted by phishing attacks, are at risk. Sites with custom fields critical to their SugarCRM data synchronization are especially vulnerable.
• wordpress / composer / npm:
grep -r 'delete_custom_field' /var/www/wordpress/wp-content/plugins/web-to-sugar-crm-lead/• wordpress / composer / npm:
wp plugin list --status=active | grep 'web-to-sugar-crm-lead'• generic web: Check WordPress plugin directory for updates and security advisories related to the Web to SugarCRM Lead plugin. • generic web: Review WordPress access logs for suspicious POST requests targeting custom field deletion endpoints.
disclosure
漏洞利用状态
EPSS
0.02% (4% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即升级到Web to SugarCRM Lead插件的1.0.1版本。如果无法立即升级,可以考虑实施一些临时缓解措施,例如限制管理员权限,并实施严格的输入验证。此外,可以配置Web应用程序防火墙(WAF)以检测和阻止CSRF攻击。建议定期审查WordPress插件的配置,确保其安全性。
更新到 1.0.1 版本,或更新的补丁版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-13361描述了Web to SugarCRM Lead WordPress插件中存在的跨站请求伪造(CSRF)漏洞,允许攻击者伪造请求删除自定义字段。
如果您正在使用Web to SugarCRM Lead插件的1.0.0版本或更早版本,则可能受到此漏洞的影响。
升级到Web to SugarCRM Lead插件的1.0.1版本以修复此漏洞。
目前尚未观察到大规模的利用活动,但由于WordPress插件的广泛使用,该漏洞可能成为攻击者的目标。
请访问WordPress插件目录或Web to SugarCRM Lead插件的官方网站查找相关公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。