平台
wordpress
组件
mergado-marketing-pack
修复版本
4.2.2
CVE-2025-62089 描述了 Mergado Pack WordPress 插件中的跨站请求伪造 (CSRF) 漏洞。该漏洞允许攻击者在用户不知情的情况下执行未经授权的操作,可能导致数据泄露或系统配置更改。该漏洞影响 Mergado Pack 的 0.0.0 至 4.2.1 版本。建议用户尽快升级到修复版本或采取缓解措施。
跨站请求伪造 (CSRF) 漏洞允许攻击者冒充已认证用户执行操作。在 Mergado Pack 的上下文中,攻击者可能利用此漏洞修改产品数据、更改营销设置或执行其他管理任务,而无需用户许可。攻击者可以通过诱骗用户点击恶意链接或访问恶意网站来触发此漏洞。如果攻击者成功利用此漏洞,可能会对网站的完整性和数据的安全性造成严重影响。由于 Mergado Pack 通常用于管理电子商务产品的营销活动,因此该漏洞可能导致敏感信息泄露或营销活动的篡改。
目前尚无公开的利用代码 (PoC)。该漏洞已于 2025 年 12 月 31 日公开。CISA 尚未将其添加到 KEV 目录。由于缺乏公开利用代码,当前利用该漏洞的概率较低,但仍应尽快采取缓解措施。
WordPress sites utilizing the Mergado Pack plugin, particularly those running versions 0.0.0 through 4.2.1, are at risk. Sites with limited security controls or those that allow user-generated content are especially vulnerable, as attackers can more easily craft malicious CSRF requests.
• wordpress / composer / npm:
grep -r 'mergado-marketing-pack' /var/www/html/wp-content/plugins/
wp plugin list | grep mergado-marketing-pack• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/mergado-marketing-pack/ | grep -i 'mergado-marketing-pack'disclosure
漏洞利用状态
EPSS
0.02% (5% 百分位)
CISA SSVC
CVSS 向量
为了缓解 CVE-2025-62089 漏洞,首先应尽快升级 Mergado Pack WordPress 插件到修复版本。如果无法立即升级,可以考虑实施一些临时缓解措施,例如使用 Web 应用防火墙 (WAF) 过滤恶意请求,或在关键操作中添加 CSRF 令牌。此外,建议审查 Mergado Pack 的配置,确保其遵循安全最佳实践。升级后,请验证插件是否已成功更新,并检查是否存在任何异常行为。
目前没有已知的补丁。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-62089 是 Mergado Pack WordPress 插件中的一个跨站请求伪造 (CSRF) 漏洞,允许攻击者在用户不知情的情况下执行未经授权的操作。
如果您正在使用 Mergado Pack 的 0.0.0 至 4.2.1 版本,则您可能受到此漏洞的影响。请尽快升级到修复版本。
建议升级 Mergado Pack WordPress 插件到修复版本。如果无法立即升级,请实施 Web 应用防火墙 (WAF) 或 CSRF 令牌等缓解措施。
目前尚无公开的利用代码,但建议尽快采取缓解措施以降低风险。
请访问 Mergado Pack 的官方网站或 WordPress 插件目录,查找有关此漏洞的官方公告和修复说明。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。