平台
wordpress
组件
wp-caldav2ics
修复版本
1.3.5
CVE-2025-59131 描述了 WP-CalDav2ICS WordPress 插件中的跨站请求伪造 (CSRF) 漏洞,该漏洞可导致存储型跨站脚本 (XSS)。攻击者可以利用此漏洞在受害者的浏览器中执行恶意脚本,从而窃取敏感信息或执行未经授权的操作。此漏洞影响 WP-CalDav2ICS 插件的 0.0.0 至 1.3.4 版本。建议用户尽快升级到修复版本以缓解风险。
此 CSRF 漏洞允许攻击者在用户不知情的情况下,通过伪造的请求执行恶意操作。由于该漏洞可导致存储型 XSS,攻击者可以注入持久性脚本到数据库中,这些脚本会在其他用户访问受影响的页面时被执行。攻击者可以利用此漏洞窃取用户的 Cookie、会话令牌和其他敏感信息,从而冒充用户执行各种操作,例如修改用户配置、发布恶意内容或执行其他未经授权的活动。 攻击者可能利用此漏洞进行钓鱼攻击,诱骗用户点击恶意链接,从而窃取用户凭据。
目前,该漏洞的公开利用代码 (POC) 尚未广泛传播,但由于其潜在影响,建议尽快采取缓解措施。该漏洞已于 2025 年 12 月 30 日公开披露。CISA 尚未将其添加到 KEV 目录中,但其 CVSS 评分为 7.1(高),表明存在中等风险。
Websites using the WP-CalDav2ICS plugin, particularly those running older, unpatched versions (0.0.0–1.3.4), are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "wp-caldav2ics" /var/www/html/
wp plugin list | grep WP-CalDav2ICS• generic web:
curl -I https://example.com/wp-content/plugins/wp-caldav2ics/ | grep -i 'wp-caldav2ics'disclosure
漏洞利用状态
EPSS
0.02% (5% 百分位)
CISA SSVC
CVSS 向量
缓解此漏洞的最佳方法是立即升级到修复版本。如果无法立即升级,可以考虑以下临时缓解措施:限制对 WP-CalDav2ICS 插件的访问权限,只允许授权用户访问。实施严格的输入验证和输出编码,以防止 XSS 攻击。使用内容安全策略 (CSP) 来限制浏览器可以加载的资源。监控 WP-CalDav2ICS 插件的日志文件,以检测可疑活动。升级后,请验证插件是否正常工作,并检查是否存在任何意外行为。
目前没有已知的补丁。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-59131 是一个跨站请求伪造 (CSRF) 漏洞,影响 WP-CalDav2ICS WordPress 插件,可导致存储型 XSS。攻击者可以利用此漏洞在用户不知情的情况下执行恶意脚本。
如果您正在使用 WP-CalDav2ICS 插件的版本在 0.0.0 至 1.3.4 之间,则您可能受到此漏洞的影响。请立即升级到修复版本。
升级到最新版本的 WP-CalDav2ICS 插件以修复此漏洞。
虽然目前没有公开的利用代码广泛传播,但由于其潜在影响,建议尽快采取缓解措施。
请访问 WP-CalDav2ICS 插件的官方网站或 GitHub 仓库,以获取有关此漏洞的官方公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。