平台
wordpress
组件
table-of-contents-creator
修复版本
1.6.5
CVE-2025-68836 描述了 Markbeljaars Table of Contents Creator 中的跨站脚本攻击(XSS)漏洞。该漏洞允许攻击者通过恶意脚本注入来影响网站功能,可能导致敏感信息泄露或用户会话劫持。此漏洞影响 Table of Contents Creator 的 n/a 到 1.6.4.1 版本。建议用户尽快升级到最新版本以修复此安全问题。
该 XSS 漏洞允许攻击者在受影响的网站上注入恶意 JavaScript 代码。攻击者可以通过各种方式利用此漏洞,例如通过修改 URL 参数、提交表单或嵌入恶意链接。一旦恶意脚本成功执行,攻击者可以窃取用户的 Cookie 和会话信息,从而冒充用户执行操作。此外,攻击者还可以利用此漏洞重定向用户到恶意网站,或在网站上显示虚假信息,从而欺骗用户。由于 Table of Contents Creator 通常用于 WordPress 网站,因此该漏洞可能影响大量用户。
目前尚无公开的漏洞利用代码(PoC),但该漏洞的 XSS 特性使其容易受到攻击。该漏洞已于 2026-03-19 公开,CISA 尚未将其添加到 KEV 目录。由于 XSS 漏洞的普遍性,建议用户密切关注安全社区的动态,并及时采取缓解措施。
Websites using the Table of Contents Creator plugin, particularly those with user authentication or handling sensitive data, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider may be particularly vulnerable if they haven't applied the update.
• wordpress / composer / npm:
grep -r "<script" /var/www/html/wp-content/plugins/table-of-contents-creator/• wordpress / composer / npm:
wp plugin list --status=all | grep "table-of-contents-creator"• wordpress / composer / npm:
wp plugin update table-of-contents-creatordisclosure
漏洞利用状态
EPSS
0.04% (11% 百分位)
CISA SSVC
为了减轻 CVE-2025-68836 的影响,建议用户立即升级到 Table of Contents Creator 的最新版本。如果无法立即升级,可以考虑使用 Web 应用防火墙(WAF)来过滤恶意请求,或者对输入数据进行严格的验证和过滤,以防止 XSS 攻击。此外,还可以禁用 Table of Contents Creator 的某些功能,以减少攻击面。升级后,请确认漏洞已修复,可以通过尝试在输入框中输入包含 JavaScript 代码的字符串,并观察网站的行为来验证。
目前没有已知的补丁。请深入审查漏洞的细节,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-68836 是 Markbeljaars Table of Contents Creator 插件中的一个跨站脚本攻击(XSS)漏洞,允许攻击者注入恶意脚本。
如果您正在使用 Table of Contents Creator 的 n/a 到 1.6.4.1 版本,则可能受到此漏洞的影响。
建议您立即升级到 Table of Contents Creator 的最新版本。如果无法升级,请考虑使用 WAF 或输入验证。
目前尚无公开的漏洞利用代码,但由于 XSS 漏洞的普遍性,建议用户密切关注安全动态。
请访问 Markbeljaars 的官方网站或 WordPress 插件目录,查找关于 CVE-2025-68836 的安全公告。
CVSS 向量
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。