CVE-2025-62080: CSRF in Live Shopping & Shoppable Videos For WooCommerce

CSRF 漏洞允许攻击者冒充已认证用户，执行任何该用户可以执行的操作。在 Live Shopping & Shoppable Videos For WooCommerce 的上下文中，攻击者可能能够创建、修改或删除直播活动，更改配置设置，甚至可能访问敏感数据。攻击者可以通过诱骗用户点击恶意链接或访问恶意网站来利用此漏洞。由于该插件与 WooCommerce 集成，攻击者可能能够利用此漏洞进一步攻击整个 WooCommerce 商店，导致数据泄露或服务中断。该漏洞的潜在影响取决于插件的配置和用户权限。

WooCommerce store owners using the Live Shopping & Shoppable Videos For WooCommerce plugin, particularly those running versions 0.0.0 through 2.2.0, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider may be particularly vulnerable if they haven't applied the update.

• wordpress / composer / npm:

grep -r 'Channelize.io Team Live Shopping & Shoppable Videos For WooCommerce' /wp-content/plugins/
wp plugin list | grep 'Live Shopping & Shoppable Videos'

• generic web:

curl -I https://your-wordpress-site.com/wp-content/plugins/live-shopping-video-streams/ | grep -i 'channelize.io'

1. 2025-12-31Disclosure

   disclosure

1. 已保留2025-10-07
2. 发布日期2025-12-31
3. 修改日期2026-04-28
4. EPSS 更新日期2026-03-23

由于目前没有官方的修复版本，建议采取以下缓解措施来降低风险。首先，实施严格的输入验证和输出编码，以防止恶意请求。其次，启用 CSRF 保护机制，例如使用 nonce 或双重验证。第三，审查插件的配置，确保权限设置尽可能严格。此外，可以考虑使用 Web 应用防火墙 (WAF) 来过滤恶意请求。最后，定期监控 WooCommerce 商店的活动日志，以检测任何可疑行为。升级到修复版本是最终的解决方案，请密切关注 Channelize.io 发布的更新。

活跃安装数

600小众

插件评分

5.0

需要WordPress版本

5.0+

兼容至

6.8.5

需要PHP版本

7.2+