平台
wordpress
组件
mamurjor-employee-info
修复版本
1.0.1
CVE-2025-13990描述了Mamurjor Employee Info WordPress插件中的一个跨站请求伪造(XSRF)漏洞。该漏洞允许未经身份验证的攻击者通过伪造请求,对WordPress站点上的员工信息进行操作,例如创建、更新或删除记录。该漏洞影响所有版本1.0.0及更早的版本。建议用户尽快更新插件或实施缓解措施以降低风险。
该XSRF漏洞的潜在影响非常严重,攻击者可以利用它来完全控制Mamurjor Employee Info插件的数据。攻击者可以通过诱骗管理员点击恶意链接,从而执行未经授权的操作。这可能导致敏感员工信息的泄露、篡改或删除,甚至可能被用于进一步攻击WordPress站点。攻击者可以创建虚假员工记录,修改现有记录中的薪资信息,或删除关键数据,从而对组织造成严重的财务和声誉损失。由于该插件通常用于存储和管理员工信息,因此该漏洞的潜在影响范围广泛。
目前尚未公开发现针对CVE-2025-13990漏洞的公开利用代码。该漏洞已添加到CISA KEV目录中,表明其具有中等风险。由于该漏洞涉及WordPress插件,因此存在被恶意行为者利用的可能性。建议密切关注安全社区的动态,并及时采取措施。
WordPress sites utilizing the Mamurjor Employee Info plugin, particularly those managing sensitive employee data or with limited security controls, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'admin.php' /var/www/html/wp-content/plugins/mamurjor-employee-info/• wordpress / composer / npm:
wp plugin list --status=inactive | grep mamurjor-employee-info• wordpress / composer / npm:
wp plugin list | grep mamurjor-employee-infodisclosure
漏洞利用状态
EPSS
0.02% (6% 百分位)
CISA SSVC
CVSS 向量
为了缓解CVE-2025-13990漏洞,首要措施是尽快升级到修复后的版本。如果无法立即升级,可以考虑以下临时缓解措施:实施严格的输入验证和输出编码,以防止XSRF攻击。使用WordPress的nonce验证机制,确保所有管理员操作都经过身份验证。限制管理员账户的权限,只授予必要的访问权限。此外,可以考虑使用Web应用防火墙(WAF)来检测和阻止XSRF攻击。升级后,请确认nonce验证已正确实施,并测试所有管理员功能以确保其正常运行。
没有已知的补丁可用。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-13990描述了Mamurjor Employee Info WordPress插件中的一个跨站请求伪造(XSRF)漏洞,允许攻击者伪造请求操作员工数据。
如果您正在使用Mamurjor Employee Info插件的版本1.0.0及更早版本,则可能受到此漏洞的影响。
建议尽快升级到修复后的版本。如果无法升级,请实施输入验证、nonce验证和限制管理员权限等缓解措施。
目前尚未公开发现针对CVE-2025-13990漏洞的公开利用代码,但已添加到CISA KEV目录中,表明其具有中等风险。
请访问Mamurjor Employee Info插件的官方网站或WordPress插件目录,查找有关CVE-2025-13990漏洞的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。