平台
wordpress
组件
sticky-action-buttons
修复版本
1.1.1
CVE-2025-14465 描述了WordPress Sticky Action Buttons插件中的跨站请求伪造(XSRF)漏洞。该漏洞源于sabsoptionspageformsubmit()函数中缺失或不正确的nonce验证。攻击者可以利用此漏洞通过伪造的请求更新插件设置,从而影响网站的安全。
攻击者可以利用此XSRF漏洞,诱骗网站管理员执行恶意操作,从而修改Sticky Action Buttons插件的配置。这可能导致网站功能异常、数据泄露或进一步的攻击。攻击者可以通过精心设计的链接或表单,欺骗管理员点击,从而触发恶意请求。由于该插件可能影响网站的关键功能,因此该漏洞的潜在影响范围可能相当广泛,可能导致网站的可用性和完整性受到威胁。
该漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于XSRF漏洞相对容易利用,因此建议尽快采取缓解措施。CISA尚未将其添加到KEV目录中。公开的PoC可能存在,因此需要保持警惕。
WordPress websites utilizing the Sticky Action Buttons plugin, particularly those with administrative accounts that are susceptible to phishing attacks or social engineering, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as a compromise on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'sabs_options_page_form_submit' /var/www/html/wp-content/plugins/sticky-action-buttons/• wordpress / composer / npm:
wp plugin list --status=inactive | grep sticky-action-buttons• wordpress / composer / npm:
wp plugin list | grep sticky-action-buttonsdisclosure
漏洞利用状态
EPSS
0.02% (4% 百分位)
CISA SSVC
CVSS 向量
为了缓解CVE-2025-14465漏洞,首要措施是立即升级到修复后的版本。如果无法立即升级,可以考虑以下临时缓解措施:限制管理员访问权限,实施严格的输入验证,并使用Web应用防火墙(WAF)来过滤可疑的请求。此外,定期审查插件配置,确保没有未经授权的更改。升级后,请验证插件配置是否恢复正常,并检查是否有任何异常活动。
没有已知的补丁可用。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-14465描述了WordPress Sticky Action Buttons插件中的跨站请求伪造(XSRF)漏洞,攻击者可以通过伪造请求更新插件设置。
如果您正在使用Sticky Action Buttons插件的版本低于或等于1.1,则可能受到影响。请立即检查您的插件版本。
建议立即升级到修复后的版本。如果无法升级,请采取缓解措施,例如限制管理员访问权限和使用WAF。
虽然目前尚未观察到大规模的利用活动,但由于XSRF漏洞相对容易利用,因此建议尽快采取缓解措施。
请访问Sticky Action Buttons插件的官方网站或WordPress插件目录,查找有关CVE-2025-14465的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。