平台
wordpress
组件
wp-email-capture
修复版本
3.12.6
CVE-2025-68529 描述了 WP Email Capture WordPress 插件中的跨站请求伪造 (CSRF) 漏洞。该漏洞允许攻击者在用户不知情的情况下执行未经授权的操作,可能导致数据泄露或恶意行为。该漏洞影响 WP Email Capture 插件的 0.0.0 至 3.12.5 版本,已于 3.12.6 版本中修复。
攻击者可以利用此 CSRF 漏洞,伪造用户请求,从而在用户不知情的情况下修改或删除数据,例如订阅者列表、电子邮件模板或插件设置。攻击者还可以利用此漏洞执行其他恶意操作,例如发送垃圾邮件或更改插件配置。如果插件配置不当,攻击者可能能够完全控制受影响的网站。由于 WP Email Capture 插件被广泛使用,因此该漏洞的影响范围可能相当广泛。
目前尚未公开发现利用此漏洞的公开可用的 PoC。CISA 尚未将其添加到 KEV 目录。由于该漏洞的 CVSS 评分为中等,且影响广泛使用的 WordPress 插件,因此存在被利用的风险。建议密切关注安全社区的动态,以便及时了解最新的威胁情报。
Websites using the WP Email Capture plugin, particularly those with user accounts that have administrative privileges or access to sensitive data, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may be slower to apply security patches.
• wordpress / composer / npm:
grep -r 'wp_email_capture_process_form' /var/www/html/wp-content/plugins/wp-email-capture/• wordpress / composer / npm:
wp plugin list --status=active | grep wp-email-capture• wordpress / composer / npm:
wp plugin update wp-email-capture --version=3.12.6disclosure
漏洞利用状态
EPSS
0.02% (6% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 WP Email Capture 插件升级至 3.12.6 或更高版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 来过滤恶意的 CSRF 请求。此外,确保所有用户都了解 CSRF 攻击的风险,并避免点击可疑链接或访问不信任的网站。实施严格的输入验证和输出编码可以进一步降低风险。
更新到 3.12.6 版本,或更新的修复版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-68529 是一个跨站请求伪造 (CSRF) 漏洞,影响 WP Email Capture WordPress 插件的 0.0.0 至 3.12.5 版本。攻击者可以利用此漏洞在用户不知情的情况下执行未经授权的操作。
如果您正在使用 WP Email Capture 插件的 0.0.0 至 3.12.5 版本,则您可能受到此漏洞的影响。请立即升级至 3.12.6 或更高版本。
将 WP Email Capture 插件升级至 3.12.6 或更高版本。如果无法立即升级,请考虑使用 Web 应用防火墙 (WAF) 来缓解风险。
目前尚未公开发现利用此漏洞的公开可用的 PoC,但由于其影响范围和潜在危害,存在被利用的风险。
请访问 WP Email Capture 插件的官方网站或 WordPress 插件目录,以获取有关此漏洞的官方公告和修复信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。