平台
wordpress
组件
feather-login-page
修复版本
1.1.8
CVE-2025-62107 描述了 Feather Login Page WordPress 插件中的跨站请求伪造 (CSRF) 漏洞。该漏洞允许攻击者在用户不知情的情况下执行未经授权的操作,可能导致账户被盗用或恶意配置更改。该漏洞影响 Feather Login Page 插件的 0 到 1.1.7 版本。建议用户尽快更新到最新版本以修复此问题。
CSRF 漏洞允许攻击者冒充已认证用户,执行其操作。在 Feather Login Page 的上下文中,攻击者可能利用此漏洞更改用户密码、修改登录设置,甚至可能在用户不知情的情况下安装恶意插件。由于 WordPress 插件通常具有广泛的权限,因此 CSRF 漏洞可能导致严重的系统安全风险。攻击者可以通过诱骗用户点击恶意链接或访问恶意网站来触发此漏洞,从而利用其权限执行恶意操作。这种攻击模式通常需要用户在攻击发生时已登录 WordPress 站点。
目前没有公开的利用代码 (PoC),但 CSRF 漏洞通常容易被利用。该漏洞已于 2025 年 12 月 22 日公开披露。由于缺乏公开的利用代码,目前尚不清楚是否存在活跃的利用活动,但建议用户密切关注安全公告和威胁情报。
Websites using the PluginOps Feather Login Page plugin, particularly those with shared hosting environments or those that haven't implemented robust security practices, are at risk. Administrators who frequently use the plugin and are susceptible to phishing attacks are also a high-risk group.
• wordpress / plugin:
wp plugin list --status=inactive | grep feather-login-page• wordpress / plugin: Check plugin version in WordPress admin dashboard. • wordpress / plugin: Review WordPress access logs for suspicious requests originating from external sources targeting the plugin’s admin endpoints. • wordpress / plugin: Examine the plugin’s codebase for any missing or inadequate CSRF tokens.
disclosure
漏洞利用状态
EPSS
0.02% (5% 百分位)
CISA SSVC
CVSS 向量
为了缓解 CVE-2025-62107 的影响,建议立即更新 Feather Login Page 插件到最新版本。如果无法立即更新,可以考虑实施一些临时缓解措施,例如使用 Web 应用防火墙 (WAF) 来过滤恶意请求,或者在关键操作中添加 CSRF 令牌。此外,建议用户启用 WordPress 的双因素身份验证 (2FA),以增加账户的安全性。在更新插件后,请检查 WordPress 站点的配置,确保没有受到攻击者的影响。
没有已知的补丁可用。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-62107 是一个跨站请求伪造 (CSRF) 漏洞,影响到 WordPress 插件 Feather Login Page 的 0 到 1.1.7 版本。攻击者可以利用此漏洞冒充已认证用户执行未经授权的操作。
如果您正在使用 Feather Login Page 插件的 0 到 1.1.7 版本,则您可能受到此漏洞的影响。请立即更新到最新版本。
最简单的修复方法是更新 Feather Login Page 插件到最新版本。如果无法立即更新,请考虑实施 Web 应用防火墙 (WAF) 或启用双因素身份验证 (2FA)。
目前没有公开的利用代码,但 CSRF 漏洞通常容易被利用。建议用户密切关注安全公告和威胁情报。
请访问 Feather Login Page 插件的官方网站或 WordPress 插件目录,查找关于 CVE-2025-62107 的安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。