平台
wordpress
组件
onestore-sites
修复版本
0.1.2
CVE-2025-25107 描述了 sainwp OneStore Sites WordPress 插件中的跨站请求伪造 (CSRF) 漏洞。该漏洞允许攻击者在用户不知情的情况下执行未经授权的操作,可能导致数据泄露或恶意代码执行。此漏洞影响 OneStore Sites 插件的版本从 0.0.0 到 0.1.1。已发布安全补丁,建议用户尽快升级。
攻击者可以利用此 CSRF 漏洞,在受影响的 OneStore Sites 插件用户不知情的情况下,执行各种恶意操作。例如,攻击者可以修改网站配置、创建或删除用户账户、甚至上传恶意文件。由于该插件通常用于电子商务网站,攻击者可能窃取敏感的用户数据,如信用卡信息和个人身份信息。如果网站存在其他漏洞,攻击者可能利用此 CSRF 漏洞进行横向移动,攻击其他系统。该漏洞的潜在影响范围取决于网站的配置和数据敏感性。
目前尚未公开发现利用此漏洞的公开可用的 PoC。CISA 尚未将其添加到 KEV 目录。根据 CVSS 评分,该漏洞被评为严重,表明存在被利用的风险。建议密切关注安全社区的动态,并及时采取缓解措施。
WordPress sites using the sainwp OneStore Sites plugin, particularly those with user roles that have administrative privileges or access to sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'sainwp OneStore Sites' /var/www/html/
wp plugin list• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/onestore-sites/ | grep -i 'onestore-sites'disclosure
漏洞利用状态
EPSS
0.06% (19% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 sainwp OneStore Sites 插件升级至 0.1.2 或更高版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 来过滤 CSRF 攻击。配置 WAF 以验证所有请求的来源,并阻止来自未知或可疑来源的请求。此外,实施严格的输入验证和输出编码,以防止其他类型的攻击。在升级后,请检查网站的配置和日志,以确认漏洞已成功修复。
将 OneStore Sites 插件更新到最新可用版本以缓解跨站请求伪造 (CSRF) 漏洞。请检查 WordPress.org 上的插件页面以获取最新版本和更新说明。实施额外的安全措施,例如输入验证和输出编码,以防止未来的 CSRF 攻击。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-25107 是 sainwp OneStore Sites WordPress 插件中的一个跨站请求伪造 (CSRF) 漏洞,允许攻击者在用户不知情的情况下执行未经授权的操作。
如果您正在使用 sainwp OneStore Sites 插件的版本在 0.0.0 到 0.1.1 之间,则您可能受到此漏洞的影响。
升级 sainwp OneStore Sites 插件至 0.1.2 或更高版本以修复此漏洞。
目前尚未公开发现利用此漏洞的公开可用的 PoC,但由于其严重性,存在被利用的风险。
请访问 sainwp 官方网站或 WordPress 插件目录,查找关于 CVE-2025-25107 的安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。