平台
wordpress
组件
post-snippets
修复版本
4.0.12
CVE-2025-63040 描述了 Post Snippets WordPress 插件中的跨站请求伪造 (CSRF) 漏洞。该漏洞允许攻击者在用户不知情的情况下执行未经授权的操作。此问题影响 Post Snippets 插件的 0.0.0 至 4.0.11 版本,已于 2025 年 12 月 31 日公开。建议用户立即升级至 4.0.12 版本以消除风险。
攻击者可以利用此 CSRF 漏洞,冒充合法用户执行各种操作,例如创建、修改或删除帖子片段。如果攻击者能够诱骗用户点击恶意链接或访问恶意网站,则可能导致未经授权的数据泄露、配置更改或恶意内容注入。攻击者可能利用此漏洞来破坏网站的完整性,并可能导致用户数据泄露或网站被劫持。由于 WordPress 插件的广泛使用,该漏洞的潜在影响范围广泛。
目前尚无公开的漏洞利用程序 (PoC),但 CSRF 漏洞通常容易被利用。该漏洞已于 2025 年 12 月 31 日公开,因此存在被恶意利用的风险。建议密切关注安全社区的动态,并及时采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录。
Websites using the Post Snippets plugin, particularly those running older versions (0.0.0–4.0.11), are at risk. Shared hosting environments where plugin updates are managed centrally are also potentially vulnerable if they haven't been updated to the latest version.
• wordpress / composer / npm:
grep -r 'post-snippets/includes/class-post-snippets.php' . |
grep -i 'wp_send_json'• generic web:
curl -I https://example.com/wp-content/plugins/post-snippets/includes/class-post-snippets.php | grep -i 'server'disclosure
漏洞利用状态
EPSS
0.02% (5% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Post Snippets WordPress 插件升级至 4.0.12 或更高版本。如果升级会导致网站中断,可以考虑回滚到之前的稳定版本,但请注意,这只是临时解决方案。此外,实施严格的输入验证和输出编码措施,可以降低 CSRF 攻击的风险。使用 WordPress 的 nonce 功能,可以有效防止 CSRF 攻击。建议定期审查 WordPress 插件的配置,并确保启用所有安全功能。
更新到 4.0.12 版本,或更新的修复版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-63040 是 Post Snippets WordPress 插件中的一个跨站请求伪造 (CSRF) 漏洞,允许攻击者在用户不知情的情况下执行未经授权的操作。
如果您正在使用 Post Snippets WordPress 插件的版本低于 4.0.12,则您可能受到此漏洞的影响。
立即将 Post Snippets WordPress 插件升级至 4.0.12 或更高版本。
目前尚无公开的漏洞利用程序,但存在被恶意利用的风险。
请访问 Post Snippets 插件的官方网站或 WordPress 插件目录,查找有关此漏洞的官方安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。