平台
wordpress
组件
afiliados-de-amazon-lite
修复版本
1.0.1
Amazon affiliate lite 插件存在跨站请求伪造(XSRF)漏洞,允许未经身份验证的攻击者通过伪造请求更新插件设置。该漏洞影响所有WordPress 1.0.0版本及更早版本。及时修复此漏洞对于保护网站安全至关重要。
攻击者可以利用此XSRF漏洞,诱骗网站管理员点击恶意链接,从而在管理员不知情的情况下修改Amazon affiliate lite插件的配置。这可能导致广告跟踪设置被篡改,影响网站的收入分成,甚至可能被用于执行其他恶意操作。由于WordPress插件的广泛使用,该漏洞的潜在影响范围广泛,可能影响大量网站的安全。
该漏洞已于2025年12月20日公开披露。目前尚无公开的PoC代码,但由于XSRF漏洞的易利用性,存在被恶意利用的风险。建议密切关注安全社区的动态,及时采取应对措施。
WordPress websites utilizing the Amazon affiliate lite Plugin, particularly those with shared hosting environments or lacking robust administrator training, are at increased risk. Sites with less frequent security audits and outdated plugin versions are also more vulnerable.
• wordpress / composer / npm:
grep -r 'ADAL_settings_page' /var/www/html/wp-content/plugins/amazon-affiliate-lite/• wordpress / composer / npm:
wp plugin list --status=all | grep 'amazon-affiliate-lite'• wordpress / composer / npm:
wp plugin list --status=active | grep 'amazon-affiliate-lite'disclosure
漏洞利用状态
EPSS
0.02% (5% 百分位)
CISA SSVC
CVSS 向量
由于该漏洞的根本原因是缺乏正确的nonce验证,建议立即更新到修复后的版本。如果无法立即更新,可以考虑实施以下缓解措施:限制管理员账户的权限,定期审查插件设置,并使用Web应用防火墙(WAF)来过滤可疑的请求。此外,可以考虑在插件的设置页面添加额外的安全检查,以防止未经授权的修改。
没有已知的补丁可用。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-14734描述了Amazon affiliate lite插件中存在的跨站请求伪造(XSRF)漏洞,攻击者可以通过伪造请求修改插件设置。
如果您使用了WordPress 1.0.0版本及更早版本的Amazon affiliate lite插件,则可能受到影响。
建议立即更新到修复后的版本。如果无法更新,请采取缓解措施,如限制管理员权限和使用WAF。
目前尚无公开的PoC代码,但由于XSRF漏洞的易利用性,存在被恶意利用的风险。
请访问Amazon affiliate lite插件的官方网站或WordPress插件目录,查找相关安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。