平台
wordpress
组件
wp-change-status-notifier
修复版本
1.0.1
CVE-2025-13521 是 WordPress 插件 WP Status Notifier 中发现的一个跨站请求伪造 (CSRF) 漏洞。该漏洞允许未经身份验证的攻击者通过伪造请求修改插件设置,从而可能导致站点配置被篡改或恶意代码注入。该漏洞影响 WP Status Notifier 1.0.0 至 1.0 版本。建议用户尽快更新插件以修复此安全问题。
攻击者可以利用此 CSRF 漏洞,诱导管理员点击恶意链接,从而在不知情的情况下修改 WP Status Notifier 插件的设置。这可能导致插件行为发生改变,例如,攻击者可以修改通知设置,将通知发送到攻击者控制的服务器,或者修改其他配置选项以执行恶意操作。如果攻击者能够成功修改插件设置,可能会导致敏感信息泄露、站点被恶意劫持或进一步的攻击。由于 WordPress 插件广泛使用,该漏洞的影响范围可能相当广泛。
目前尚未公开发现针对 CVE-2025-13521 的公开利用代码,但由于 CSRF 漏洞的易用性,存在被利用的风险。该漏洞已发布,并被记录在 NVD 数据库中。建议密切关注安全社区的动态,以获取最新的威胁情报。
WordPress websites utilizing the WP Status Notifier plugin, particularly those with multiple administrators or shared hosting environments, are at increased risk. Sites where administrators frequently click on links from untrusted sources are also more vulnerable. Legacy WordPress installations with outdated security practices are especially susceptible.
• wordpress / composer / npm:
grep -r 'wp_status_notifier_settings_update' /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list --status=active | grep 'wp-status-notifier'• wordpress / composer / npm:
wp plugin auto-update --alldisclosure
漏洞利用状态
EPSS
0.02% (3% 百分位)
CISA SSVC
CVSS 向量
为了缓解 CVE-2025-13521 漏洞,首要措施是立即更新 WP Status Notifier 插件到最新版本。如果无法立即更新,可以考虑暂时禁用插件,或者实施更严格的访问控制策略,例如,要求所有对插件设置的修改都需要进行双因素身份验证。此外,可以使用 WordPress 安全插件来检测和阻止 CSRF 攻击。建议定期审查 WordPress 插件的安全性,并及时更新所有插件以修复已知的漏洞。
没有已知的补丁可用。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-13521 是 WordPress 插件 WP Status Notifier 中发现的一个跨站请求伪造 (CSRF) 漏洞,允许攻击者伪造请求修改插件设置。
如果您正在使用 WP Status Notifier 插件的 1.0.0 至 1.0 版本,则可能受到此漏洞的影响。
建议立即更新 WP Status Notifier 插件到最新版本。
目前尚未公开发现针对 CVE-2025-13521 的公开利用代码,但存在被利用的风险。
请访问 WordPress 插件目录或 WP Status Notifier 插件的官方网站以获取更多信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。