平台
wordpress
组件
clearfy
修复版本
2.5.4
Clearfy Cache WordPress 插件,特别是其“Minify HTML, CSS & JS, Defer”功能,存在跨站请求伪造 (CSRF) 漏洞。该漏洞允许未经身份验证的攻击者通过伪造请求,诱骗网站管理员执行操作,例如禁用插件/主题更新通知。此问题影响 Clearfy Cache WordPress 插件的所有版本,包括 2.4.0 及更早版本。已发布 2.4.1 版本修复此漏洞。
攻击者可以利用此 CSRF 漏洞,通过精心设计的恶意链接或表单,诱骗网站管理员执行未经授权的操作。例如,攻击者可以创建一个链接,当管理员点击时,该链接会禁用 Clearfy Cache 插件的更新通知。这可能导致插件长期运行在过时版本上,从而暴露于其他安全风险。虽然此漏洞本身不会导致数据泄露或系统入侵,但它可能为后续攻击创造条件,例如利用插件的其他漏洞。攻击者可能还会利用此漏洞进行钓鱼攻击,伪装成正常的管理操作,从而欺骗管理员执行恶意操作。
目前尚未公开发现针对此漏洞的利用代码 (PoC)。该漏洞已添加到 CISA KEV 目录,表明其具有中等概率被利用。由于 WordPress 插件的广泛使用,该漏洞可能成为攻击者的目标。建议密切关注安全社区的动态,并及时采取缓解措施。
WordPress websites using the Clearfy Cache plugin, particularly those running versions 0.0.0 through 2.4.0, are at risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromised website could potentially be used to target other sites on the same server.
• wordpress / composer / npm:
grep -r 'wbcr_upm_change_flag' /var/www/html/wp-content/plugins/clearfy-cache/• wordpress / composer / npm:
wp plugin list --status=all | grep clearfy-cache• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/clearfy-cache/readme.txt | grep Versiondisclosure
漏洞利用状态
EPSS
0.02% (3% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Clearfy Cache WordPress 插件升级至 2.4.1 或更高版本。如果升级导致网站出现问题,可以考虑回滚到之前的版本,但请注意,这会使网站再次暴露于该漏洞。作为临时措施,可以配置 WordPress 的 Web 应用防火墙 (WAF) 或代理服务器,以阻止可疑的 CSRF 请求。此外,可以审查 Clearfy Cache 插件的配置,确保其安全性设置已正确配置。在升级后,请务必验证插件是否正常工作,并且更新通知功能已启用。
更新至 2.4.1 版本,或更新的修复版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-13749 是 Clearfy Cache WordPress 插件 (0.0.0–2.4.0 版本) 中发现的跨站请求伪造 (CSRF) 漏洞,攻击者可诱导管理员禁用更新通知。
如果您正在使用 Clearfy Cache WordPress 插件的版本低于 2.4.1,则您可能受到此漏洞的影响。
请立即将 Clearfy Cache WordPress 插件升级至 2.4.1 或更高版本。
目前尚未公开发现针对此漏洞的利用代码,但由于 WordPress 插件的广泛使用,该漏洞可能成为攻击者的目标。
请访问 Clearfy Cache 插件的官方网站或 WordPress 插件目录,查找有关此漏洞的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。