平台
wordpress
组件
auto-post-to-social-media-wp-to-social-champ
修复版本
1.3.6
Social Champ Auto Post to Social Media 插件存在跨站请求伪造 (CSRF) 漏洞,影响 WordPress 1.0.0 至 1.3.5 版本。该漏洞源于 wpscsettingstab_menu 函数缺少 nonce 验证,允许未经身份验证的攻击者通过伪造请求修改插件设置。建议用户尽快升级至 1.3.6 版本以修复此安全问题。
攻击者可以利用此 CSRF 漏洞,在网站管理员不知情的情况下修改 Social Champ 插件的设置。这可能包括更改社交媒体账户的连接、修改发布计划或修改其他配置选项。攻击者可以通过诱骗管理员点击恶意链接或访问恶意网站来触发这些伪造请求。成功利用此漏洞可能导致社交媒体账户被盗用、未经授权的帖子发布以及其他安全风险。由于该插件与多个社交媒体平台集成,因此潜在影响范围广泛。
目前尚未公开发现针对此漏洞的利用代码,但由于 CSRF 漏洞的普遍性,存在被利用的风险。该漏洞已于 2026-01-14 公开披露。建议密切关注安全社区的动态,并及时采取缓解措施。
Websites utilizing the Social Champ plugin, particularly those with administrators who are not adequately trained in security best practices, are at risk. Shared hosting environments where plugin updates are managed centrally are also vulnerable if they haven't applied the update.
• wordpress / composer / npm:
grep -r 'wpsc_settings_tab_menu' /var/www/html/wp-content/plugins/social-champ/• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/social-champ/ | grep -i 'wpsc_settings_tab_menu'disclosure
漏洞利用状态
EPSS
0.02% (4% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Social Champ Auto Post to Social Media 插件升级至 1.3.6 版本或更高版本。如果无法立即升级,可以考虑禁用插件或限制对插件设置的访问权限。此外,实施严格的网站管理员身份验证和授权控制,可以降低 CSRF 攻击的风险。使用 Web 应用防火墙 (WAF) 也可以帮助检测和阻止恶意请求。建议定期审查插件配置,并确保所有用户都了解 CSRF 攻击的风险。
更新至1.3.6版本,或更新的补丁版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-14846 是 Social Champ Auto Post to Social Media 插件的一个跨站请求伪造 (CSRF) 漏洞,允许攻击者在未经授权的情况下修改插件设置。
如果您正在使用 Social Champ Auto Post to Social Media 插件的 1.0.0–1.3.5 版本,则您可能受到此漏洞的影响。
请立即将 Social Champ Auto Post to Social Media 插件升级至 1.3.6 版本或更高版本。
目前尚未公开发现针对此漏洞的利用代码,但存在被利用的风险。
请访问 Social Champ 的官方网站或 WordPress 插件目录,查找有关此漏洞的官方公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。