平台
wordpress
组件
rencontre
修复版本
3.13.8
CVE-2025-67534描述了Rencontre WordPress插件中的跨站请求伪造(CSRF)漏洞,该漏洞可被利用进行存储型XSS攻击。该漏洞影响Rencontre插件的版本从n/a到3.13.7(含)。建议用户尽快升级至3.13.8版本以修复此安全问题。
攻击者可以利用此CSRF漏洞触发存储型XSS攻击,通过伪造用户请求,在受害者不知情的情况下执行恶意脚本。攻击者可以窃取用户会话信息,冒充用户执行操作,甚至完全控制受害者账户。这种攻击可能导致敏感数据泄露、恶意软件传播以及网站被篡改等严重后果。由于该漏洞允许存储型XSS,攻击者可以持久化恶意脚本,影响所有访问受影响页面的用户。
目前尚未公开可用的漏洞利用代码,但由于该漏洞允许存储型XSS,且CSRF攻击相对容易实施,因此存在被利用的风险。该漏洞已于2025年12月9日公开,建议用户密切关注安全社区的动态,并及时采取应对措施。CISA尚未将此漏洞添加到KEV目录。
WordPress websites utilizing the Rencontre plugin, particularly those with user roles that have administrative privileges, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches.
• wordpress / composer / npm:
grep -r 'rencontre/plugin.php' /var/www/html/
wp plugin list | grep rencontre• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/rencontre/plugin.php | grep -i '3.13.7'disclosure
漏洞利用状态
EPSS
0.02% (6% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将Rencontre WordPress插件升级至3.13.8版本或更高版本。如果升级不可行,可以尝试使用Web应用防火墙(WAF)来过滤恶意请求,并实施严格的输入验证和输出编码策略。此外,建议禁用不必要的插件功能,并定期审查用户权限,以减少攻击面。升级后,请确认漏洞已修复,可以通过检查Rencontre插件的安装版本以及相关日志文件来验证。
更新到 3.13.8 版本,或更新的修复版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-67534描述了Rencontre WordPress插件中的跨站请求伪造(CSRF)漏洞,该漏洞允许攻击者在用户不知情的情况下执行恶意操作,并可能导致存储型XSS攻击。
如果您正在使用Rencontre WordPress插件的版本低于3.13.8,则可能受到此漏洞的影响。请立即检查您的插件版本并进行升级。
最简单的修复方法是升级Rencontre WordPress插件至3.13.8版本或更高版本。
目前尚未公开可用的漏洞利用代码,但由于该漏洞的潜在影响,存在被利用的风险。
请访问Rencontre插件的官方网站或WordPress插件目录,查找关于CVE-2025-67534的官方安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。