平台
wordpress
组件
munk-sites
修复版本
1.0.8
CVE-2025-25101 描述了 MetricThemes Munk Sites WordPress 插件中的跨站请求伪造 (CSRF) 漏洞。该漏洞允许攻击者在用户不知情的情况下执行未经授权的操作,可能导致数据泄露或系统被破坏。该漏洞影响 Munk Sites 的 0.0.0 至 1.0.7 版本。已发布 1.0.8 版本进行修复。
攻击者可以利用此 CSRF 漏洞伪造用户请求,从而执行各种恶意操作。例如,攻击者可以修改网站配置、删除内容、更改用户权限,甚至执行其他与受影响用户权限相关的操作。由于 Munk Sites 插件通常用于管理网站内容和结构,因此该漏洞的潜在影响非常大,可能导致网站被完全控制。攻击者可以通过诱骗用户点击恶意链接或访问恶意网站来触发此漏洞,从而在用户不知情的情况下执行攻击。
该漏洞已公开披露,且 CVSS 评分为严重 (9.6)。目前尚未发现公开的利用程序,但由于 CSRF 漏洞的易用性,存在被利用的风险。建议密切关注安全社区的动态,并及时采取缓解措施。
Websites using the MetricThemes Munk Sites plugin, particularly those with administrative access or sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'munk-sites/includes/class-munk-sites-admin.php' . |
grep -i 'wp_send_json'• generic web:
curl -I https://example.com/munk-sites/admin/ | grep -i 'csrf-token'disclosure
漏洞利用状态
EPSS
0.74% (73% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Munk Sites 插件升级至 1.0.8 或更高版本。如果无法立即升级,可以考虑暂时禁用插件,或实施严格的输入验证和输出编码策略,以减少 CSRF 攻击的风险。此外,建议启用 WordPress 的 CSRF 保护功能,并使用强密码和双因素身份验证来增强网站的安全性。在升级后,请检查网站配置和用户权限,确保没有未经授权的更改。
将 Munk Sites 插件更新到最新可用版本以缓解 CSRF 漏洞。此更新解决了攻击者通过伪造请求在您的 WordPress 网站上执行未经授权操作的可能性。在更新之前,请务必备份您的网站。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-25101 是 MetricThemes Munk Sites WordPress 插件中的跨站请求伪造 (CSRF) 漏洞,允许攻击者伪造用户请求执行未经授权的操作。
如果您正在使用 Munk Sites 插件的版本低于 1.0.8,则您可能受到此漏洞的影响。请立即升级插件。
升级 Munk Sites 插件至 1.0.8 或更高版本。如果无法升级,请考虑暂时禁用插件。
虽然目前尚未发现公开的利用程序,但由于 CSRF 漏洞的易用性,存在被利用的风险。
请访问 MetricThemes 官方网站或 WordPress 插件目录,查找关于 CVE-2025-25101 的安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。