平台
wordpress
组件
thim-core
修复版本
2.4.0
CVE-2025-53344 描述了 ThimPress Thim Core 中的跨站请求伪造 (CSRF) 漏洞。该漏洞允许攻击者利用受害者浏览器执行未经授权的操作,从而可能导致数据泄露或系统篡改。该漏洞影响 Thim Core 的 n/a 到 2.3.3 版本。已发布 2.4.0 版本以解决此问题。
攻击者可以利用此 CSRF 漏洞,通过诱骗受害者访问恶意链接或提交恶意表单,在受害者不知情的情况下执行操作。例如,攻击者可以修改用户配置、删除数据或执行其他敏感操作。由于 Thim Core 广泛应用于 WordPress 网站,因此该漏洞可能影响大量用户。攻击者可以利用此漏洞进行账户接管,从而进一步扩大攻击范围。
该漏洞已于 2026-01-05 公开披露。目前尚无公开的 PoC 代码,但由于 CSRF 漏洞的普遍性,存在被利用的风险。建议密切关注安全社区的动态,并及时采取缓解措施。
Websites using Thim Core plugin versions prior to 2.4.0 are at risk. Specifically, sites with user roles that have administrative privileges are particularly vulnerable, as an attacker could leverage CSRF to escalate their privileges.
• wordpress / composer / npm:
grep -r 'thim_core_settings' /var/www/html/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=thim_core_settings&nonce=malicious_nonce | grep -i '200 ok'disclosure
漏洞利用状态
EPSS
0.02% (5% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 ThimPress Thim Core 升级至 2.4.0 或更高版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 来过滤恶意请求,并实施严格的输入验证和输出编码。此外,建议启用 WordPress 的 CSRF 保护机制,并定期审查用户权限。
将 Thim Core 插件更新到 2.4.0 或更高版本以缓解跨站请求伪造 (CSRF) 漏洞。在更新任何插件之前,请务必备份您的网站。请参阅插件文档以获取有关如何更新的详细说明。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-53344 是一个跨站请求伪造 (CSRF) 漏洞,影响 ThimPress Thim Core 插件的 n/a 到 2.3.3 版本。攻击者可以利用此漏洞在未经授权的情况下执行操作。
如果您正在使用 ThimPress Thim Core 的 n/a 到 2.3.3 版本,则您可能受到此漏洞的影响。请立即升级至 2.4.0 或更高版本。
最有效的修复方法是升级 ThimPress Thim Core 至 2.4.0 或更高版本。
目前尚无公开的利用案例,但由于 CSRF 漏洞的普遍性,存在被利用的风险。
请访问 ThimPress 官方网站或 WordPress 插件目录,查找关于 CVE-2025-53344 的安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。