平台
wordpress
组件
wpshop
修复版本
2.6.2
CVE-2025-32576 描述了 Agence web Eoxia - Montpellier WP shop wpshop 中的跨站请求伪造 (CSRF) 漏洞。该漏洞允许攻击者通过伪造请求在服务器上上传 Web Shell,从而可能导致服务器被完全控制。此漏洞影响 WP shop 的 0.0.0 至 2.6.1 版本。建议立即升级至 2.6.2 版本以修复此安全问题。
攻击者可以利用此 CSRF 漏洞在目标服务器上未经授权地上传 Web Shell。一旦 Web Shell 成功上传,攻击者就可以远程执行任意代码,完全控制受影响的服务器。这可能导致数据泄露、数据篡改、服务中断,甚至整个网络的入侵。由于漏洞允许上传 Web Shell,攻击者可以利用该 Shell 执行各种恶意活动,例如窃取敏感数据、安装恶意软件或发起进一步的攻击。
该漏洞已公开披露,且 CVSS 评分为 CRITICAL。目前尚无公开的利用代码,但由于漏洞的严重性,预计未来可能会出现。建议密切关注安全社区的动态,并及时采取必要的安全措施。CISA 尚未将其添加到 KEV 目录。
Organizations using WP shop plugin in their WordPress installations are at risk, particularly those running older, unpatched versions (0.0.0–2.6.1). Shared hosting environments are especially vulnerable, as they often have limited control over plugin updates and security configurations. Sites with custom themes or plugins that interact with WP shop are also at increased risk.
• wordpress / composer / npm:
wp plugin list | grep wpshop• wordpress / composer / npm:
wp plugin update --all• wordpress / composer / npm:
grep -r 'Agence web Eoxia' /var/www/html/wp-content/plugins/• generic web: Check for unusual files in the WordPress plugin directory (e.g., PHP files with suspicious names or content).
disclosure
漏洞利用状态
EPSS
0.09% (26% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 WP shop 升级至 2.6.2 版本或更高版本。如果无法立即升级,可以考虑实施一些临时缓解措施。例如,可以配置 Web 应用防火墙 (WAF) 以阻止可疑的跨站请求。此外,应审查并加强服务器的访问控制策略,以限制对敏感文件的访问。 确保所有用户都了解 CSRF 攻击的风险,并避免点击可疑链接或访问不信任的网站。
将 WP shop 插件更新到 2.6.2 或更高版本以缓解跨站请求伪造 (CSRF) 漏洞,该漏洞允许将 Web Shell 上传到服务器。在更新插件之前,请务必备份您的网站。请参阅插件文档以获取有关如何更新的详细说明。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-32576 是 WP shop 0.0.0–2.6.1 版本中发现的跨站请求伪造 (CSRF) 漏洞,允许攻击者上传 Web Shell。
如果您正在使用 WP shop 的 0.0.0 至 2.6.1 版本,则可能受到此漏洞的影响。
建议立即将 WP shop 升级至 2.6.2 版本或更高版本以修复此漏洞。
目前尚无公开的利用代码,但由于漏洞的严重性,预计未来可能会出现。
请访问 Agence web Eoxia 的官方网站或 WP shop 的插件页面,查找有关此漏洞的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。