平台
wordpress
组件
moderate-selected-posts
修复版本
1.4.1
CVE-2025-14907描述了WordPress插件Moderate Selected Posts中存在的跨站请求伪造(CSRF)漏洞。该漏洞源于mspadminpage()函数缺少nonce验证,允许未经身份验证的攻击者通过伪造请求修改插件设置。该漏洞影响到1.0.0到1.4版本,建议用户尽快更新到最新版本或采取缓解措施。
攻击者可以利用此CSRF漏洞,诱使用户(尤其是管理员)点击恶意链接,从而在用户不知情的情况下修改Moderate Selected Posts插件的配置。这可能导致网站内容显示异常、权限被篡改,甚至可能被用于进一步攻击网站。由于WordPress插件广泛使用,该漏洞的影响范围可能相当广泛,尤其是在没有适当安全措施的网站上。攻击者可以利用此漏洞进行钓鱼攻击,诱骗管理员执行恶意操作。
目前尚未公开披露该漏洞的详细利用方法,但由于CSRF漏洞的普遍性,预计可能会出现公开的PoC。该漏洞已于2026年1月24日公开,目前尚未被CISA添加到KEV目录中。建议密切关注安全社区的动态,及时了解最新的威胁情报。
WordPress sites utilizing the Moderate Selected Posts plugin, particularly those with administrative accounts that are frequently targeted by phishing or social engineering attacks, are at increased risk. Shared hosting environments where multiple WordPress sites share the same server resources are also more vulnerable, as a compromise on one site could potentially lead to attacks on others.
• wordpress / composer / npm:
grep -r 'msp_admin_page()' /var/www/html/wp-content/plugins/moderate-selected-posts/• wordpress / composer / npm:
wp plugin list --status=all | grep 'Moderate Selected Posts'• wordpress / composer / npm:
wp plugin update moderate-selected-postsdisclosure
漏洞利用状态
EPSS
0.03% (8% 百分位)
CISA SSVC
CVSS 向量
虽然升级到最新版本是解决此问题的最佳方法,但如果无法立即升级,可以考虑以下缓解措施。首先,实施严格的输入验证和输出编码,以防止恶意数据注入。其次,使用Web应用防火墙(WAF)来检测和阻止CSRF攻击。第三,在所有关键操作中使用nonce验证,以确保请求的合法性。最后,定期审查插件配置,确保没有不必要的权限被授予。在升级插件后,请确认nonce验证已正确实施,并测试关键功能以确保其正常运行。
没有已知的补丁可用。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-14907描述了WordPress插件Moderate Selected Posts中存在的跨站请求伪造(CSRF)漏洞,允许攻击者通过伪造请求修改插件设置。
如果您正在使用Moderate Selected Posts插件的1.0.0到1.4版本,则可能受到此漏洞的影响。
建议升级到最新版本。如果无法升级,请实施缓解措施,如WAF和nonce验证。
目前尚未确认该漏洞正在被积极利用,但由于CSRF漏洞的普遍性,预计可能会出现PoC。
请访问Moderate Selected Posts插件的官方网站或WordPress插件目录,查找相关公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。