平台
wordpress
组件
my-auctions-allegro-free-edition
修复版本
3.6.34
CVE-2025-68567 描述了 My auctions allegro 插件中的跨站请求伪造 (CSRF) 漏洞。攻击者可以利用此漏洞在用户不知情的情况下执行未经授权的操作,可能导致数据泄露或系统被篡改。此漏洞影响 My auctions allegro 的 0.0.0 至 3.6.33 版本,建议用户尽快升级至 3.6.34 版本以修复。
该 CSRF 漏洞允许攻击者冒充合法用户,执行各种恶意操作。例如,攻击者可以修改用户配置、删除数据、甚至可能执行其他具有破坏性的操作。攻击者可以通过诱骗用户点击恶意链接或访问恶意网站来触发此漏洞。由于 My auctions allegro 插件通常用于管理拍卖和商品信息,因此攻击者可能能够窃取敏感数据,例如用户账户信息、商品价格和交易记录。如果插件与外部系统集成,攻击者还可能利用此漏洞进行横向移动,攻击其他系统。
目前尚未公开发现针对此漏洞的利用代码,但由于 CSRF 漏洞的普遍性,存在被利用的风险。该漏洞已于 2025 年 12 月 24 日公开披露。建议密切关注安全社区的动态,以获取有关此漏洞的最新信息。
WordPress site owners using the My auctions allegro plugin, particularly those running older versions (0.0.0–3.6.33). Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may not be promptly updated.
• wordpress / composer / npm:
grep -r 'my-auctions-allegro-free-edition' /var/www/html/
wp plugin list | grep 'My auctions allegro'• generic web:
curl -I https://example.com/my-auctions-allegro/ | grep -i 'csrf-token'disclosure
漏洞利用状态
EPSS
0.02% (6% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 My auctions allegro 插件升级至 3.6.34 或更高版本。如果无法立即升级,可以考虑实施一些临时缓解措施。例如,可以启用 WordPress 的 CSRF 保护功能,或者使用 Web 应用防火墙 (WAF) 来过滤恶意请求。此外,建议审查插件的配置,确保没有启用不必要的权限。升级后,请验证插件是否正常工作,并检查是否有任何异常活动。
更新到 3.6.34 版本,或更新的修复版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-68567 是 My auctions allegro 插件中的一个跨站请求伪造 (CSRF) 漏洞,允许攻击者在未经授权的情况下执行操作。
如果您正在使用 My auctions allegro 插件的 0.0.0 至 3.6.33 版本,则可能受到此漏洞的影响。
升级 My auctions allegro 插件至 3.6.34 或更高版本以修复此漏洞。
目前尚未公开发现针对此漏洞的利用代码,但存在被利用的风险。
请访问 My auctions allegro 官方网站或 WordPress 插件目录,查找有关此漏洞的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。