平台
wordpress
组件
sensitive-tag-cloud
修复版本
1.4.2
CVE-2025-49344 描述了 WordPress 插件 SensitiveTagCloud 中存在的跨站请求伪造 (CSRF) 漏洞,该漏洞可被利用进行存储型 XSS 攻击。攻击者可以通过伪造请求来执行恶意脚本,影响用户数据安全。此漏洞影响 SensitiveTagCloud 插件的版本从 0.0.0 到 1.4.1。建议用户尽快更新插件或采取相应的缓解措施。
此 CSRF 漏洞允许攻击者在受影响的 WordPress 站点上执行存储型 XSS 攻击。攻击者可以诱使用户点击恶意链接或访问恶意网页,从而在用户的浏览器中执行恶意 JavaScript 代码。攻击者可以利用此漏洞窃取用户的 Cookie 和会话信息,冒充用户执行操作,甚至完全控制受影响的 WordPress 站点。由于该漏洞可导致存储型 XSS,攻击的影响范围可能比普通 XSS 更广,因为恶意脚本会被存储在数据库中,并影响所有访问相关页面的用户。
目前尚无公开的漏洞利用代码 (PoC),但由于该漏洞属于 CSRF 结合存储型 XSS,其潜在危害较高。该漏洞已于 2025 年 12 月 31 日公开披露。建议密切关注安全社区的动态,以获取最新的漏洞信息和利用情况。CISA 尚未将其添加到 KEV 目录。
Websites using the SensitiveTagCloud plugin, particularly those with user-generated content or forms, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'sensitive-tag-cloud/sensitive-tag-cloud' /var/www/html/
wp plugin list | grep sensitive-tag-cloud• generic web:
curl -I https://example.com/ | grep -i 'sensitive-tag-cloud'disclosure
漏洞利用状态
EPSS
0.02% (5% 百分位)
CISA SSVC
CVSS 向量
缓解此漏洞的首要措施是立即将 SensitiveTagCloud 插件升级到修复版本。如果无法立即升级,可以考虑以下临时缓解措施:实施严格的输入验证和输出编码,以防止 XSS 攻击;使用内容安全策略 (CSP) 来限制浏览器可以加载的资源;启用 WordPress 的安全插件,以检测和阻止恶意请求;审查 WordPress 站点的代码,查找潜在的 XSS 漏洞。升级后,请确认漏洞已修复,可以通过检查 SensitiveTagCloud 插件的版本号来验证。
没有已知的补丁可用。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-49344 是 SensitiveTagCloud WordPress 插件 (版本 0.0.0–1.4.1) 中发现的跨站请求伪造 (CSRF) 漏洞,可导致存储型 XSS 攻击。
如果您正在使用 SensitiveTagCloud 插件的版本在 0.0.0 和 1.4.1 之间,则可能受到此漏洞的影响。
建议立即将 SensitiveTagCloud 插件升级到修复版本。如果无法升级,请采取缓解措施,如输入验证和 CSP。
目前尚无公开的漏洞利用代码,但由于其潜在危害,建议密切关注安全动态。
请访问 SensitiveTagCloud 插件的官方网站或 WordPress 插件目录,查找有关此漏洞的官方公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。