平台
wordpress
组件
delete-comments-by-status
修复版本
2.1.2
CVE-2025-25130 描述了 Delete Comments By Status 插件中的路径遍历漏洞。该漏洞允许攻击者通过构造恶意请求访问服务器上的任意文件,可能导致敏感信息泄露。此漏洞影响 Delete Comments By Status 插件的 0.0.0 至 2.1.1 版本,建议尽快升级至 2.1.2 版本以修复。
攻击者可以利用此路径遍历漏洞读取服务器上的任意文件,包括配置文件、源代码、甚至其他用户的敏感数据。如果服务器配置不当,攻击者可能能够进一步提升权限,甚至控制整个服务器。该漏洞的潜在影响包括敏感信息泄露、系统被入侵以及数据损坏。由于该漏洞允许读取任意文件,因此其影响范围可能非常广泛,取决于服务器上存储的数据类型和敏感程度。
该漏洞已公开披露,且存在公开的利用代码。目前尚无关于该漏洞被大规模利用的公开报告,但由于其易于利用,建议尽快采取缓解措施。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的安全风险。
WordPress websites using the Delete Comments By Status plugin, particularly those running older versions (0.0.0 - 2.1.1), are at risk. Shared hosting environments where file permissions are not strictly controlled are especially vulnerable.
• wordpress / composer / npm:
grep -r "../" /var/www/html/wp-content/plugins/delete-comments-by-status/*• generic web:
curl -I http://your-wordpress-site.com/wp-content/plugins/delete-comments-by-status/../../../../etc/passwddisclosure
漏洞利用状态
EPSS
0.19% (41% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即升级 Delete Comments By Status 插件至 2.1.2 或更高版本。如果无法立即升级,可以尝试限制插件的访问权限,例如将其限制在特定的目录中。此外,可以配置 Web 应用防火墙 (WAF) 或代理服务器,以阻止包含恶意路径的请求。监控服务器上的文件访问日志,可以帮助检测潜在的攻击尝试。升级后,请检查插件的配置,确保没有其他安全漏洞。
Actualice el plugin Delete Comments By Status a la última versión disponible para mitigar la vulnerabilidad de Path Traversal. Verifique la página del plugin en wordpress.org para obtener la versión más reciente y las instrucciones de actualización. Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar cualquier plugin.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-25130 描述了 Delete Comments By Status 插件中的路径遍历漏洞,允许攻击者读取服务器上的任意文件。
如果您正在使用 Delete Comments By Status 插件的版本低于 2.1.2,则可能受到此漏洞的影响。
升级 Delete Comments By Status 插件至 2.1.2 或更高版本以修复此漏洞。
虽然目前没有大规模利用的公开报告,但由于漏洞易于利用,建议尽快采取缓解措施。
请访问 Delete Comments By Status 插件的官方网站或 WordPress 插件目录,查找有关此漏洞的官方公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。