平台
wordpress
组件
accelerated-mobile-pages
修复版本
1.2.0
CVE-2025-14468 描述了 WordPress 插件 AMP for WP – Accelerated Mobile Pages 在版本 1.0.0 至 1.1.9 之间存在的跨站请求伪造 (CSRF) 漏洞。该漏洞源于 ampthemeajaxcomments AJAX 处理器的非预期 nonce 验证逻辑,允许未经身份验证的攻击者通过伪造请求冒充登录用户提交评论,前提是他们能够诱使用户执行操作,并且插件的模板模式已启用。该漏洞已于 1.1.10 版本修复。
该 CSRF 漏洞允许攻击者在受影响的 WordPress 站点上执行未经授权的操作,特别是冒充已登录用户提交评论。攻击者可以通过诱骗用户点击恶意链接或访问恶意网站来触发此漏洞。成功利用该漏洞可能导致评论垃圾信息泛滥、恶意内容传播,甚至可能被用于进一步攻击站点上的其他功能。由于该漏洞依赖于用户交互,因此攻击者需要诱骗用户执行特定操作,但如果成功,其影响可能相当严重,特别是对于依赖评论功能进行用户互动或反馈的网站。
该漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于该漏洞相对容易利用,且 AMP for WP 插件被广泛使用,因此存在被攻击者的利用的可能性。建议密切关注安全社区的动态,并及时采取必要的安全措施。该漏洞尚未被添加到 CISA KEV 目录。
Websites using the AMP for WP plugin, particularly those with active comment sections and a significant number of logged-in users, are at risk. Shared hosting environments where multiple websites share the same server resources are also potentially vulnerable, as a compromise on one site could lead to attacks targeting others.
• wordpress / composer / npm:
grep -r 'amp_theme_ajaxcomments' /var/www/html/wp-content/plugins/amp-wp/• wordpress / composer / npm:
wp plugin list --status=active | grep 'amp-wp'• wordpress / composer / npm:
wp plugin update amp-wp --version=1.1.10• wordpress / composer / npm:
wp plugin status amp-wp• wordpress / composer / npm:
wp plugin list --all | grep 'AMP for WP'disclosure
漏洞利用状态
EPSS
0.03% (9% 百分位)
CISA SSVC
CVSS 向量
缓解此漏洞的首要措施是立即将 AMP for WP – Accelerated Mobile Pages 插件升级至 1.1.10 或更高版本。如果由于兼容性问题无法立即升级,可以考虑禁用插件的模板模式,但这可能会影响 AMP 页面的外观和功能。此外,实施严格的输入验证和输出编码措施,可以降低 CSRF 攻击的风险。使用 WordPress 的 nonce 功能,并确保所有 AJAX 请求都使用正确的 nonce 值进行验证,可以有效防止此类攻击。升级后,请检查评论区是否存在异常评论,以确认漏洞已成功修复。
更新到1.1.10版本,或更新的修复版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-14468 是 WordPress 插件 AMP for WP – Accelerated Mobile Pages 在版本 1.0.0–1.1.9 之间存在的跨站请求伪造 (CSRF) 漏洞,攻击者可以冒充登录用户提交评论。
如果您正在使用 AMP for WP – Accelerated Mobile Pages 插件的版本低于 1.1.10,则您可能受到此漏洞的影响。
升级 AMP for WP – Accelerated Mobile Pages 插件至 1.1.10 或更高版本。如果无法升级,请禁用插件的模板模式。
目前尚未观察到大规模的利用活动,但由于漏洞相对容易利用,存在被攻击者的利用的可能性。
请访问 AMP for WP 插件的官方网站或 WordPress 插件目录,查找有关此漏洞的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。