CVE-2025-15376 描述了 WordPress 插件“Stopwords for comments”中的跨站请求伪造 (XSRF) 漏洞。该漏洞允许未经身份验证的攻击者通过伪造请求来添加或删除停用词,从而可能影响网站的正常功能。该漏洞影响所有版本,包括 1.1 版本。建议尽快升级到修复版本或实施缓解措施。
该 XSRF 漏洞允许攻击者在管理员不知情的情况下执行操作。攻击者可以诱骗管理员访问恶意链接,从而触发伪造的请求,进而修改网站的停用词列表。这可能导致搜索结果不准确、内容过滤失效,甚至可能被用于进一步的攻击。由于 WordPress 插件广泛使用,该漏洞的潜在影响范围很大,可能影响大量网站的安全。攻击者可以利用此漏洞操纵网站内容,甚至可能在管理员权限下执行恶意代码。
目前尚无公开的漏洞利用程序 (PoC),但该漏洞的潜在影响值得关注。该漏洞已添加到 CISA KEV 目录中,表明其具有中等概率被利用。建议密切关注安全社区的动态,及时采取应对措施。
WordPress sites utilizing the Stopwords for comments plugin, particularly those with shared hosting environments where plugin updates may be delayed, are at risk. Sites with less stringent administrator access controls are also more vulnerable to exploitation.
• wordpress / composer / npm:
grep -r 'set_stopwords_for_comments' /var/www/html/wp-content/plugins/stopwords-for-comments/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=set_stopwords_for_comments | grep -i '200 ok'disclosure
漏洞利用状态
EPSS
0.02% (4% 百分位)
CISA SSVC
CVSS 向量
为了缓解 CVE-2025-15376 漏洞,首要措施是立即升级到修复版本。如果无法立即升级,可以考虑以下临时缓解措施:实施严格的输入验证和输出编码,以防止 XSRF 攻击。使用 WordPress 的 nonce 功能,确保所有关键操作都经过身份验证。限制管理员权限,减少攻击者利用漏洞的潜在影响。定期审查 WordPress 插件的安全更新,及时修复已知漏洞。
没有已知的补丁可用。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-15376 是 WordPress 插件 Stopwords for comments 中发现的跨站请求伪造 (XSRF) 漏洞,允许攻击者在未经授权的情况下修改停用词列表。
如果您使用了 Stopwords for comments 插件,并且版本低于 1.2(假设有修复版本),则可能受到影响。请立即检查您的插件版本。
建议立即升级到 Stopwords for comments 插件的最新版本,该版本修复了此漏洞。如果无法升级,请实施缓解措施,如输入验证和 nonce 使用。
目前尚未确认 CVE-2025-15376 正在被积极利用,但由于其潜在影响,建议采取预防措施。
请访问 WordPress 插件目录或开发者网站,查找有关 CVE-2025-15376 的官方安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。