平台
wordpress
组件
kento-latest-tabs
修复版本
1.5.1
CVE-2025-14999 是 Latest Tabs WordPress 插件中的跨站请求伪造 (CSRF) 漏洞。该漏洞允许未经身份验证的攻击者通过伪造的请求修改插件设置,从而可能导致配置更改或恶意行为。此漏洞影响 Latest Tabs 插件 1.0.0 至 1.5 版本。建议用户尽快升级到 1.6 版本以解决此问题。
攻击者可以利用此 CSRF 漏洞,通过诱骗网站管理员点击恶意链接来修改 Latest Tabs 插件的设置。这可能导致插件行为发生意外更改,例如修改显示的内容、更改排序规则或暴露敏感信息。攻击者还可以利用此漏洞来执行其他恶意操作,例如植入恶意代码或窃取用户数据。由于 WordPress 插件通常具有广泛的权限,因此此漏洞的潜在影响范围可能很大,可能影响整个网站的安全。
此漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于 WordPress 插件的广泛使用,该漏洞可能成为攻击者的目标。建议用户密切关注安全公告,并及时采取措施来保护其网站。
WordPress sites utilizing the Latest Tabs plugin, particularly those with administrative accounts that are frequently targeted by phishing or social engineering attacks, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources could also be affected if one site is compromised and used to launch attacks against others.
• wordpress / composer / npm:
grep -r 'admin-page.php' /var/www/html/wp-content/plugins/latest-tabs/• wordpress / composer / npm:
wp plugin list --status=all | grep 'latest-tabs'• wordpress / composer / npm:
wp plugin update latest-tabs --alldisclosure
漏洞利用状态
EPSS
0.02% (4% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Latest Tabs 插件升级到 1.6 版本或更高版本。如果无法立即升级,可以考虑实施一些临时缓解措施。例如,可以配置 WordPress 网站的 Web 应用防火墙 (WAF) 以阻止可疑的 CSRF 请求。此外,还可以审查插件的配置,确保没有不必要的权限或敏感信息暴露。在升级后,请验证插件设置是否已正确恢复,并检查是否有任何未经授权的更改。
没有已知的补丁可用。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-14999 是 Latest Tabs WordPress 插件 1.0.0–1.5 版本中发现的跨站请求伪造 (CSRF) 漏洞,攻击者可以通过伪造的请求修改插件设置。
如果您正在使用 Latest Tabs WordPress 插件的 1.0.0 至 1.5 版本,则您可能受到此漏洞的影响。
立即将 Latest Tabs 插件升级到 1.6 版本或更高版本以修复此漏洞。
目前尚未观察到大规模的利用活动,但由于 WordPress 插件的广泛使用,该漏洞可能成为攻击者的目标。
请访问 Latest Tabs 插件的官方网站或 WordPress 插件目录,以获取有关此漏洞的官方公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。