平台
wordpress
组件
social-profilr-display-social-network-profile
修复版本
1.0.1
CVE-2025-49343 是 Social Profilr WordPress 插件中的跨站请求伪造 (CSRF) 漏洞,导致存储型跨站脚本攻击 (XSS)。攻击者可以利用此漏洞在用户不知情的情况下执行恶意脚本,从而窃取敏感信息或劫持用户会话。此漏洞影响 Social Profilr 插件的 0.0.0 至 1.0 版本。建议尽快更新插件以修复此安全问题。
此 CSRF 漏洞与存储型 XSS 结合,使得攻击者能够诱导用户执行未经授权的操作,并注入恶意脚本。攻击者可以通过精心设计的链接或表单,诱骗用户点击,从而在用户的浏览器中执行恶意代码。成功利用此漏洞可能导致敏感数据泄露,例如用户 Cookie、会话令牌和个人信息。此外,攻击者还可以利用 XSS 漏洞劫持用户会话,冒充用户执行各种操作,甚至完全控制受影响的网站。由于该漏洞允许存储型 XSS,攻击者可以持久化恶意脚本,影响所有访问受影响页面的用户。
目前尚未公开发现针对此漏洞的利用代码,但由于该漏洞允许存储型 XSS,且 CSRF 攻击相对容易实施,因此存在被利用的风险。该漏洞已于 2025 年 12 月 31 日公开披露。建议密切关注安全社区的动态,并及时采取缓解措施。
Websites utilizing the Social Profilr WordPress plugin, particularly those with user accounts and social network integration, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially impact others.
• wordpress / plugin:
grep -r 'socialprofilr_display_social_network_profile' /var/www/html/wp-content/plugins/• wordpress / plugin:
wp plugin list --status=inactive | grep socialprofilr• wordpress / plugin:
wp plugin list | grep socialprofilrdisclosure
漏洞利用状态
EPSS
0.02% (5% 百分位)
CISA SSVC
CVSS 向量
修复此漏洞的首要措施是升级 Social Profilr WordPress 插件到最新版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 来过滤恶意请求,并实施严格的输入验证和输出编码策略,以防止 XSS 攻击。此外,建议启用 WordPress 的内容安全策略 (CSP),以限制浏览器可以加载的资源,从而降低 XSS 攻击的风险。定期审查 WordPress 插件的权限设置,并禁用不必要的插件,以减少攻击面。
目前没有已知的补丁。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-49343 是 Social Profilr WordPress 插件中的一个跨站请求伪造 (CSRF) 漏洞,允许存储型 XSS,攻击者可以利用它来执行恶意脚本。
如果您正在使用 Social Profilr 插件的 0.0.0 至 1.0 版本,则您可能受到此漏洞的影响。请立即检查您的插件版本并升级。
建议升级 Social Profilr WordPress 插件到最新版本。如果无法升级,请考虑使用 WAF 和 CSP 等缓解措施。
目前尚未公开发现针对此漏洞的利用代码,但由于其潜在影响,存在被利用的风险。
请访问 Social Profilr 插件的官方网站或 WordPress 插件目录,以获取有关此漏洞的官方公告和修复信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。