CVE-2025-67625 描述了 Trade Runner 应用程序中存在的跨站请求伪造 (CSRF) 漏洞。该漏洞允许攻击者在用户不知情的情况下,冒充用户执行操作,从而可能导致数据泄露或未经授权的修改。该漏洞影响 Trade Runner 的 0.0.0 至 3.14 版本。建议尽快升级到修复版本或采取缓解措施。
CSRF 漏洞允许攻击者诱使用户在不知情的情况下执行恶意操作。例如,攻击者可以伪造一个请求,让用户更改其密码、转移资金或执行其他敏感操作。攻击者可以通过电子邮件、社交媒体或其他渠道诱骗用户点击恶意链接或访问恶意网站来利用此漏洞。由于 Trade Runner 可能用于处理敏感交易数据,因此该漏洞可能导致严重的财务损失或声誉损害。攻击者可以利用此漏洞进行账户接管,并进一步进行横向移动以访问其他系统。
目前没有公开的利用代码 (PoC),但 CSRF 漏洞通常容易被利用。该漏洞已于 2025 年 12 月 24 日公开,因此预计未来可能会出现利用代码。建议密切关注安全公告和漏洞报告,以便及时采取措施。
Organizations and individuals utilizing Trade Runner versions 0.0.0 through 3.14 are at risk. This includes those deploying Trade Runner on shared WordPress hosting environments, as they may be more vulnerable to CSRF attacks due to limited control over server configurations. Users who frequently access Trade Runner through untrusted links or websites are also at increased risk.
• wordpress / composer / npm:
grep -r "/wp-admin/admin-ajax.php" ./• generic web:
curl -I https://your-trade-runner-site.com/wp-admin/admin-ajax.php | grep -i 'content-security-policy'disclosure
漏洞利用状态
EPSS
0.02% (6% 百分位)
CISA SSVC
CVSS 向量
为了缓解 CVE-2025-67625 漏洞,首要措施是升级到修复版本。如果无法立即升级,可以考虑以下缓解措施:实施严格的输入验证和输出编码,以防止恶意数据注入。使用 CSRF 令牌,并在每个敏感请求中验证令牌的有效性。实施内容安全策略 (CSP),以限制浏览器可以加载的资源。此外,可以考虑使用 Web 应用程序防火墙 (WAF) 来检测和阻止 CSRF 攻击。升级后,请验证 CSRF 保护机制是否已正确实施。
目前没有已知的补丁。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-67625 描述了 Trade Runner 应用程序 0.0.0–3.14 版本中存在的跨站请求伪造 (CSRF) 漏洞,攻击者可以冒充用户执行未经授权的操作。
如果您正在使用 Trade Runner 的 0.0.0 至 3.14 版本,则可能受到此漏洞的影响。请尽快升级或采取缓解措施。
建议升级到修复版本。如果无法升级,请实施 CSRF 令牌、输入验证和输出编码等缓解措施。
虽然目前没有公开的利用代码,但 CSRF 漏洞通常容易被利用,预计未来可能会出现利用代码。
请访问 Trade Runner 官方网站或安全公告页面,以获取有关此漏洞的更多信息和更新。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。