平台
wordpress
组件
last-email-address-validator
修复版本
1.7.2
CVE-2025-14853 描述了 WordPress 插件 LEAV Last Email Address Validator 在版本 0.0.0 到 1.7.1 之间存在的跨站请求伪造 (XSRF) 漏洞。攻击者可以利用此漏洞通过伪造的请求修改插件设置,从而可能影响网站的正常运行和安全性。该漏洞于 2026 年 1 月 16 日公开披露,建议用户尽快升级到修复后的版本。
此 XSRF 漏洞允许未经身份验证的攻击者通过诱骗网站管理员点击恶意链接来修改 LEAV Last Email Address Validator 插件的设置。攻击者可以修改邮件验证流程,例如更改验证规则或重置用户密码,从而可能导致数据泄露、账户接管或恶意代码注入。由于该插件通常用于处理用户邮箱地址,因此攻击者可能能够获取敏感的用户数据,并将其用于进一步的攻击活动。如果网站管理员在点击恶意链接时处于登录状态,攻击者就可以利用其权限进行操作。
目前尚未发现公开的漏洞利用代码,但由于 XSRF 漏洞的普遍性,存在被利用的风险。该漏洞已添加到 CISA KEV 目录中,表明其潜在的威胁级别较高。建议密切关注安全社区的动态,并及时更新安全补丁。
WordPress sites utilizing the LEAV Last Email Address Validator plugin, particularly those with site administrators who are susceptible to social engineering attacks, are at risk. Shared hosting environments where multiple websites share the same server resources could also be affected if one site is compromised.
• wordpress / composer / npm:
grep -r 'display_settings_page' /var/www/html/wp-content/plugins/leav-last-email-address-validator/• wordpress / composer / npm:
wp plugin list --status=inactive | grep leav-last-email-address-validator• wordpress / composer / npm:
wp plugin update --alldisclosure
漏洞利用状态
EPSS
0.01% (3% 百分位)
CISA SSVC
CVSS 向量
解决此漏洞的首要措施是立即升级 LEAV Last Email Address Validator 插件到最新版本。如果无法立即升级,可以考虑临时禁用插件,以防止攻击者利用该漏洞。此外,建议实施严格的输入验证和输出编码,以减少 XSRF 攻击的风险。使用 WordPress 提供的 nonce 功能,确保所有重要的操作都经过身份验证。监控 WordPress 网站的访问日志,查找可疑的请求模式,并及时采取措施。
没有已知的补丁可用。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-14853 是指 LEAV Last Email Address Validator WordPress 插件在版本 <= 1.7.1 中存在的跨站请求伪造 (XSRF) 漏洞,攻击者可以利用此漏洞修改插件设置。
如果您正在使用 LEAV Last Email Address Validator 插件的版本低于 1.7.1,则您可能受到此漏洞的影响。请立即检查您的插件版本。
升级 LEAV Last Email Address Validator 插件到最新版本是修复此漏洞的最佳方法。
目前尚未发现公开的漏洞利用代码,但由于 XSRF 漏洞的普遍性,存在被利用的风险。
请访问 LEAV Last Email Address Validator 插件的官方网站或 WordPress 插件目录,以获取有关此漏洞的更多信息和官方公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。