平台
wordpress
组件
easy-property-listings-xml-csv-import
修复版本
2.2.2
CVE-2025-62112 是 Import into Easy Property Listings 插件中的跨站请求伪造 (CSRF) 漏洞。攻击者可以利用此漏洞在用户不知情的情况下执行恶意操作,例如修改或删除数据。该漏洞影响 Import into Easy Property Listings 的 0.0.0 至 2.2.1 版本。已发布安全补丁,建议尽快升级至 2.2.2 版本。
CSRF 漏洞允许攻击者冒充已认证用户,执行任何该用户有权执行的操作。在 Import into Easy Property Listings 的上下文中,攻击者可能能够创建、修改或删除房源列表,甚至可能修改插件的配置。攻击者可以通过诱骗用户点击恶意链接或访问恶意网站来利用此漏洞。由于房源列表信息可能包含敏感数据,例如地址和联系方式,因此该漏洞可能导致信息泄露。如果插件与其他系统集成,攻击者还可能利用 CSRF 漏洞进行横向移动。
目前没有公开的利用代码 (PoC),但由于 CSRF 漏洞的普遍性,存在被利用的风险。该漏洞已于 2025 年 12 月 30 日公开。CISA 尚未将其添加到 KEV 目录,但应密切关注其状态。建议监控 WordPress 插件的更新,并及时应用安全补丁。
WordPress websites utilizing the Import into Easy Property Listings plugin, particularly those with user accounts that have administrative privileges or the ability to manage property listings, are at risk. Shared hosting environments where multiple websites share the same server resources may also be indirectly affected if one site is vulnerable and an attacker can leverage cross-site scripting to target users on other sites.
• wordpress / composer / npm:
grep -r 'easy-property-listings-xml-csv-import' /var/www/html/
wp plugin list | grep 'easy-property-listings-xml-csv-import'• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=easy_property_listings_import_processdisclosure
漏洞利用状态
EPSS
0.02% (5% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是升级到 2.2.2 或更高版本,该版本修复了此漏洞。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 来过滤恶意请求。WAF 可以配置为阻止包含可疑 CSRF 令牌的请求。此外,可以实施输入验证和输出编码,以减少 CSRF 漏洞的影响。确保所有用户都了解 CSRF 攻击的风险,并避免点击来自未知来源的链接。
更新到 2.2.2 版本,或更新的修复版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-62112 是 Import into Easy Property Listings 插件中的跨站请求伪造 (CSRF) 漏洞,允许攻击者在用户不知情的情况下执行恶意操作。
如果您正在使用 Import into Easy Property Listings 的 0.0.0 至 2.2.1 版本,则您可能受到影响。
升级到 Import into Easy Property Listings 的 2.2.2 或更高版本以修复此漏洞。
目前没有公开的利用代码,但存在被利用的风险。
请访问 Import into Easy Property Listings 插件的官方网站或 WordPress 插件目录以获取更多信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。