CRITICALCVE-2025-49381CVSS 9.6

WordPress ads.txt Guru Connect 插件 <= 1.1.1 - 跨站请求伪造 (CSRF) 漏洞

Q: 什么是 CVE-2025-49381 — CSRF 在 ads.txt Guru Connect 中？

CVE-2025-49381 是 ads.txt Guru Connect 插件中发现的跨站请求伪造 (CSRF) 漏洞，允许攻击者冒充用户执行未经授权的操作。

Q: 我是否受到 CVE-2025-49381 在 ads.txt Guru Connect 中影响？

如果您正在使用 ads.txt Guru Connect 插件的版本低于 1.1.2，则您可能受到此漏洞的影响。请立即检查您的插件版本。

Q: 我如何修复 CVE-2025-49381 在 ads.txt Guru Connect 中？

建议立即升级到 ads.txt Guru Connect 1.1.2 或更高版本。

Q: CVE-2025-49381 是否正在被积极利用？

目前尚未公开发现利用 CVE-2025-49381 的公开漏洞利用程序，但已添加到 CISA KEV 目录，表明其具有中等概率被利用。

Q: 在哪里可以找到 ads.txt Guru Connect 的官方公告，其中包含有关 CVE-2025-49381 的信息？

请访问 ads.txt Guru Connect 的官方网站或 GitHub 仓库，查找有关 CVE-2025-49381 的安全公告。

平台

wordpress

组件

adstxt-guru-connect

修复版本

1.1.2

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-49381 描述了 ads.txt Guru Connect 中的跨站请求伪造 (CSRF) 漏洞。该漏洞允许攻击者在用户不知情的情况下，冒充用户执行恶意操作，可能导致未经授权的配置更改或数据泄露。该漏洞影响 ads.txt Guru Connect 的 0.0.0 到 1.1.1 版本之间的所有用户。已发布 1.1.2 版本修复此问题。

影响与攻击场景

CSRF 漏洞允许攻击者诱使用户在不知情的情况下执行恶意操作。在 ads.txt Guru Connect 中，攻击者可以利用此漏洞修改 ads.txt 文件，从而影响广告投放策略，甚至可能导致广告欺诈。攻击者可以通过精心设计的恶意链接或嵌入在合法网站中的脚本来触发 CSRF 攻击。由于 ads.txt 文件直接影响广告商的收入，因此此漏洞的潜在影响非常严重。攻击者可能利用此漏洞操纵广告投放，窃取广告收入，或损害广告商的声誉。

利用背景

目前尚未公开发现利用 CVE-2025-49381 的公开漏洞利用程序 (PoC)。该漏洞已添加到 CISA KEV 目录，表明其具有中等概率被利用。建议密切关注安全社区的动态，并及时采取必要的缓解措施。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.02% (6% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

CVSS 向量

受影响的软件

组件adstxt-guru-connect

供应商ads.txt Guru

影响范围修复版本

0 – 1.1.11.1.2

弱点分类 (CWE)

CWE-352

时间线

已保留2025-06-04
发布日期2025-08-20
修改日期2026-04-28
EPSS 更新日期2026-03-23

缓解措施和替代方案

为了缓解 CVE-2025-49381 的影响，建议立即升级到 ads.txt Guru Connect 1.1.2 或更高版本。如果无法立即升级，可以考虑实施以下临时缓解措施：启用严格的输入验证和输出编码，以防止恶意脚本注入。实施 CSRF 令牌机制，要求用户在执行敏感操作时提供额外的身份验证。使用内容安全策略 (CSP) 来限制可以加载的资源，从而降低 CSRF 攻击的风险。升级后，请验证 ads.txt 文件是否已正确配置，以确保广告投放策略的完整性。

修复方法

将 ads.txt Guru Connect 插件更新到最新可用版本，以缓解跨站请求伪造 (CSRF) 漏洞。在 WordPress 仓库或开发人员网站上检查更新。实施额外的安全措施，例如 CSRF 令牌验证，以加强保护。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-49381 — CSRF 在 ads.txt Guru Connect 中？