平台
wordpress
组件
thesis-openhook
修复版本
4.3.2
CVE-2025-62120 描述了OpenHook WordPress插件中的跨站请求伪造(CSRF)漏洞。此漏洞允许攻击者在用户不知情的情况下执行未经授权的操作。该漏洞影响OpenHook 0.0.0到4.3.1版本之间的所有用户。该漏洞已于2025年12月31日公开。
跨站请求伪造(CSRF)攻击利用受害者与Web应用程序的信任关系。攻击者诱使用户点击恶意链接或访问恶意网站,从而触发在用户不知情的情况下执行的请求。在OpenHook插件中,攻击者可以利用此漏洞修改配置、执行管理操作或执行其他未经授权的操作,从而可能导致数据泄露、恶意代码注入或网站劫持。攻击者可以利用此漏洞窃取敏感信息,例如用户凭据或配置数据,并将其用于进一步的攻击。
目前尚未公开发现针对CVE-2025-62120漏洞的公开利用代码(PoC)。该漏洞已添加到CISA KEV目录中,表明其具有中等概率被利用。由于该漏洞影响WordPress插件,因此可能成为攻击者的目标,尤其是在存在大量未打补丁的OpenHook插件实例的情况下。
Websites using the OpenHook WordPress plugin, particularly those with users who have administrative or editor roles, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider may also be vulnerable if updates are not applied promptly.
• wordpress / composer / npm:
grep -r 'openhook_save_options' /var/www/html/wp-content/plugins/• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=openhook_save_options | grep -i 'referer:'disclosure
漏洞利用状态
EPSS
0.02% (5% 百分位)
CISA SSVC
CVSS 向量
为了缓解CVE-2025-62120漏洞,建议立即升级OpenHook插件到最新版本。如果无法立即升级,可以考虑实施一些临时缓解措施,例如使用内容安全策略(CSP)来限制允许加载的资源,或者使用严格的输入验证和输出编码来防止CSRF攻击。此外,实施双因素身份验证(2FA)可以增加攻击者利用此漏洞的难度。升级后,请检查OpenHook插件的配置,确保没有不必要的权限或功能启用。
没有已知的补丁可用。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-62120描述了OpenHook WordPress插件中的跨站请求伪造(CSRF)漏洞,攻击者可以利用此漏洞在用户不知情的情况下执行未经授权的操作。
如果您正在使用OpenHook插件的版本低于4.3.1,那么您可能受到此漏洞的影响。请立即升级到最新版本。
建议立即升级OpenHook插件到最新版本。如果无法升级,请实施缓解措施,例如使用CSP和严格的输入验证。
目前尚未公开发现针对CVE-2025-62120漏洞的公开利用代码,但由于其影响WordPress插件,可能成为攻击者的目标。
请访问OpenHook插件的官方网站或GitHub仓库,查找有关CVE-2025-62120漏洞的公告和修复信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。