平台
wordpress
组件
evergreen-post-tweeter
修复版本
1.8.10
CVE-2025-67622 描述了 Evergreen Post Tweeter 中的跨站请求伪造 (CSRF) 漏洞,该漏洞允许攻击者执行存储型跨站脚本 (XSS)。此漏洞影响 Evergreen Post Tweeter 的 0 到 1.8.9 版本。成功利用此漏洞可能导致攻击者执行恶意脚本,从而窃取敏感信息或冒充用户执行操作。建议用户尽快升级到安全版本以缓解风险。
此 XSS 漏洞允许攻击者通过 CSRF 攻击在受害者浏览器中执行恶意 JavaScript 代码。攻击者可以诱使用户点击精心制作的链接或访问恶意网站,从而触发漏洞。一旦恶意脚本执行,攻击者可以窃取用户的 Cookie、会话令牌和其他敏感数据。此外,攻击者还可以冒充用户发布内容、更改设置或执行其他未经授权的操作。由于该漏洞是存储型 XSS,恶意脚本将持久存在于服务器上,可能影响所有访问受感染页面的用户。
目前,该漏洞的公开利用代码 (POC) 尚未广泛传播,但由于其潜在影响,建议将其视为高风险漏洞。该漏洞已于 2025 年 12 月 24 日公开披露。CISA 尚未将其添加到 KEV 目录,但建议密切关注相关安全动态。
Websites using the Evergreen Post Tweeter plugin, particularly those with user accounts or sensitive data, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "evergreen-post-tweeter" /var/www/html/wp-content/plugins/
wp plugin list | grep evergreen-post-tweeter• generic web:
curl -I https://example.com/ | grep -i 'x-frame-options'disclosure
漏洞利用状态
EPSS
0.02% (6% 百分位)
CISA SSVC
CVSS 向量
为了缓解 CVE-2025-67622 的风险,首要措施是立即升级 Evergreen Post Tweeter 到最新版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 来过滤恶意请求,并实施严格的输入验证和输出编码策略。此外,建议启用 WordPress 的内容安全策略 (CSP) 功能,以限制浏览器可以加载的资源,从而降低 XSS 攻击的风险。在升级后,请检查 WordPress 日志和 Evergreen Post Tweeter 的配置,以确保没有残留的恶意代码或配置错误。
目前没有已知的补丁。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-67622 是 Evergreen Post Tweeter 中的一个跨站脚本 (XSS) 漏洞,允许攻击者通过跨站请求伪造 (CSRF) 执行恶意脚本。
如果您正在使用 Evergreen Post Tweeter 的 0 到 1.8.9 版本,则您可能受到此漏洞的影响。请立即升级到最新版本。
升级到 Evergreen Post Tweeter 的最新版本是修复此漏洞的最佳方法。如果无法升级,请考虑使用 WAF 和 CSP 等缓解措施。
虽然目前没有广泛的公开利用代码,但由于其潜在影响,建议将其视为高风险漏洞。
请访问 Evergreen Post Tweeter 的官方网站或 WordPress 插件目录,以获取有关此漏洞的官方公告和修复信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。