平台
wordpress
组件
robotstxt-rewrite
修复版本
1.6.2
CVE-2025-62148 描述了 Robots.txt rewrite 组件中的跨站请求伪造 (CSRF) 漏洞。该漏洞允许攻击者在受害者不知情的情况下执行未经授权的操作。此问题影响 Robots.txt rewrite 的 0.0.0 至 1.6.1 版本,已于 2025 年 12 月 31 日公开。建议用户尽快升级至 1.6.2 版本以解决此安全问题。
CSRF 漏洞允许攻击者冒充受害者用户,执行其在 Robots.txt rewrite 中可以执行的任何操作。攻击者可以通过诱骗受害者点击恶意链接或访问恶意网站来触发此漏洞。攻击者可以利用此漏洞修改 robots.txt 文件,阻止搜索引擎抓取网站的特定部分,从而影响网站的 SEO 排名。此外,如果 Robots.txt rewrite 组件与其他敏感功能集成,攻击者可能能够利用此漏洞访问或修改敏感数据。
目前,该漏洞的公开利用代码 (POC) 尚未公开。CISA 尚未将其添加到 KEV 目录中。根据 CVSS 评分,该漏洞的风险等级为中等,表明存在被利用的可能性,但利用难度相对较高。建议密切关注安全社区的动态,以获取有关此漏洞的最新信息。
Websites using the Robots.txt rewrite plugin, particularly those relying on search engine optimization (SEO) and those with sensitive data that could be exposed through misconfigured robots.txt directives, are at risk. Shared WordPress hosting environments are also at increased risk, as vulnerabilities in plugins can affect multiple websites hosted on the same server.
• wordpress / composer / npm:
grep -r 'robots.txt' /var/www/html/wp-content/plugins/robots-txt-rewrite/
wp plugin list | grep robots-txt-rewrite• generic web:
curl -I https://example.com/robots.txt | grep -i 'allow:'disclosure
漏洞利用状态
EPSS
0.02% (5% 百分位)
CISA SSVC
CVSS 向量
为了减轻 CVE-2025-62148 的影响,建议用户立即升级至 Robots.txt rewrite 1.6.2 版本。如果无法立即升级,可以考虑实施以下缓解措施:使用严格的输入验证和输出编码技术,以防止恶意输入被执行。实施 CSRF 令牌,以验证请求是否来自受信任的来源。配置 Web 应用防火墙 (WAF) 以检测和阻止 CSRF 攻击。在 robots.txt 文件中添加适当的规则,以限制对敏感资源的访问。
没有已知的补丁可用。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-62148 描述了 Robots.txt rewrite 组件中的跨站请求伪造 (CSRF) 漏洞,攻击者可以冒充用户执行未经授权的操作。
如果您正在使用 Robots.txt rewrite 的 0.0.0 至 1.6.1 版本,则可能受到此漏洞的影响。
建议立即升级至 Robots.txt rewrite 1.6.2 版本以修复此漏洞。
目前,该漏洞的公开利用代码尚未公开,但存在被利用的可能性。
请访问 Eugen Bobrowski 的官方网站或 GitHub 仓库,查找有关此漏洞的官方公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。