CRITICALCVE-2025-30615CVSS 9.6

WordPress WP e-Commerce Style Email 插件 <= 0.6.2 - CSRF 到远程代码执行漏洞

Q: 什么是 CVE-2025-30615 — 远程代码执行漏洞在 WP e-Commerce Style Email 中？

CVE-2025-30615 是一个影响 WP e-Commerce Style Email 插件的漏洞，允许攻击者通过跨站请求伪造 (CSRF) 执行代码注入，可能导致远程代码执行 (RCE)。

Q: 我是否受到 CVE-2025-30615 在 WP e-Commerce Style Email 中影响？

如果您正在使用 WP e-Commerce Style Email 插件的 0.0.0 至 0.6.2 版本，则您可能受到此漏洞的影响。

Q: 我如何修复 CVE-2025-30615 在 WP e-Commerce Style Email 中？

立即将 WP e-Commerce Style Email 插件升级到 0.6.3 版本或更高版本。

Q: CVE-2025-30615 是否正在被积极利用？

目前尚无已知的公开利用程序，但由于漏洞的严重性和易利用性，预计未来可能会出现。

Q: 在哪里可以找到 WP e-Commerce Style Email 中 CVE-2025-30615 的官方公告？

请访问 WP e-Commerce Style Email 插件的官方网站或 WordPress 插件目录，以获取有关此漏洞的更多信息和更新。

平台

wordpress

组件

wp-e-commerce-style-email

修复版本

0.6.3

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-30615 描述了 WP e-Commerce Style Email 插件中的一个严重漏洞，该漏洞允许攻击者通过跨站请求伪造 (CSRF) 执行代码注入。此漏洞影响 WP e-Commerce Style Email 的 0.0.0 至 0.6.2 版本。成功利用此漏洞可能导致攻击者在受影响的 WordPress 站点上执行任意代码，从而完全控制站点。建议用户立即升级到 0.6.3 版本以解决此问题。

影响与攻击场景

该 CSRF 漏洞允许攻击者在用户不知情的情况下，通过伪造的请求执行恶意操作。由于该漏洞允许代码注入，攻击者可以执行任意 PHP 代码，从而完全控制受影响的 WordPress 站点。攻击者可以利用此漏洞来窃取敏感数据，例如用户凭据、数据库内容和商业机密。此外，攻击者还可以利用此漏洞来安装恶意软件、修改网站内容或将其用于恶意目的，例如发送垃圾邮件或发起 DDoS 攻击。这种漏洞的潜在影响非常严重，因为它可能导致数据泄露、服务中断和声誉损害。

利用背景

该漏洞已公开披露，并且存在潜在的利用风险。目前尚无已知的公开利用程序，但由于漏洞的严重性和易利用性，预计未来可能会出现。建议用户密切关注安全公告和更新，并采取必要的措施来保护其 WordPress 站点。

哪些人处于风险中翻译中…

Websites utilizing the WP e-Commerce Style Email plugin, particularly those running older, unpatched versions (0.0.0 - 0.6.2), are at significant risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.

检测步骤翻译中…

• wordpress / composer / npm:

grep -r "wp_e_commerce_style_email" /var/www/html/

• wordpress / composer / npm:

wp plugin list --status=inactive | grep wp-e-commerce-style-email

• wordpress / composer / npm:

wp plugin list --status=active | grep wp-e-commerce-style-email

• generic web: Check for unusual POST requests to plugin endpoints in access logs. • generic web: Monitor for unexpected file modifications in the plugin's directory.

攻击时间线

2025-03-24Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.04% (13% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

CVSS 向量

受影响的软件

组件wp-e-commerce-style-email

供应商Jacob Schwartz

影响范围修复版本

0.0.0 – 0.6.20.6.3

弱点分类 (CWE)

CWE-352

时间线

已保留2025-03-24
发布日期2025-03-24
修改日期2026-04-28
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是立即将 WP e-Commerce Style Email 插件升级到 0.6.3 版本或更高版本。如果无法立即升级，可以考虑禁用该插件，以防止进一步的攻击。此外，实施严格的输入验证和输出编码措施，可以帮助减轻 CSRF 攻击的风险。建议使用 WordPress 安全插件来检测和阻止可疑的请求。升级后，请检查 WordPress 站点日志，以确认是否存在任何未经授权的活动。

修复方法

将 WP e-Commerce Style Email 插件更新到最新可用版本，以缓解可能允许远程代码执行的 CSRF 漏洞。请参阅 wordpress.org 上的插件仓库以获取最新版本。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-30615 — 远程代码执行漏洞在 WP e-Commerce Style Email 中？

CVE-2025-30615 是一个影响 WP e-Commerce Style Email 插件的漏洞，允许攻击者通过跨站请求伪造 (CSRF) 执行代码注入，可能导致远程代码执行 (RCE)。

我是否受到 CVE-2025-30615 在 WP e-Commerce Style Email 中影响？

如果您正在使用 WP e-Commerce Style Email 插件的 0.0.0 至 0.6.2 版本，则您可能受到此漏洞的影响。

我如何修复 CVE-2025-30615 在 WP e-Commerce Style Email 中？

立即将 WP e-Commerce Style Email 插件升级到 0.6.3 版本或更高版本。

CVE-2025-30615 是否正在被积极利用？

目前尚无已知的公开利用程序，但由于漏洞的严重性和易利用性，预计未来可能会出现。

在哪里可以找到 WP e-Commerce Style Email 中 CVE-2025-30615 的官方公告？

请访问 WP e-Commerce Style Email 插件的官方网站或 WordPress 插件目录，以获取有关此漏洞的更多信息和更新。

WordPress WP e-Commerce Style Email 插件 <= 0.6.2 - CSRF 到远程代码执行漏洞

影响与攻击场景

利用背景

哪些人处于风险中翻译中…

检测步骤翻译中…

攻击时间线

威胁情报

受影响的软件

弱点分类 (CWE)

时间线

缓解措施和替代方案

修复方法

CVE 安全通讯

常见问题

什么是 CVE-2025-30615 — 远程代码执行漏洞在 WP e-Commerce Style Email 中？

我是否受到 CVE-2025-30615 在 WP e-Commerce Style Email 中影响？

我如何修复 CVE-2025-30615 在 WP e-Commerce Style Email 中？

CVE-2025-30615 是否正在被积极利用？

在哪里可以找到 WP e-Commerce Style Email 中 CVE-2025-30615 的官方公告？

你的项目受影响吗?

检测此 CVE 是否影响你的项目