平台
wordpress
组件
ays-popup-box
修复版本
6.0.8
CVE-2025-69021 描述了 Ays Pro Popup box 中的跨站请求伪造 (CSRF) 漏洞。此漏洞允许攻击者在用户不知情的情况下执行未经授权的操作。该漏洞影响 Ays Pro Popup box 的 0.0.0 到 6.0.7 版本之间的所有版本。已发布补丁版本 6.0.8。
CSRF 漏洞允许攻击者冒充已认证的用户,执行任何该用户可以执行的操作。在 Ays Pro Popup box 的上下文中,攻击者可能能够创建、编辑或删除弹出窗口,修改设置,或执行其他管理操作。攻击者可以通过诱骗用户点击恶意链接或访问恶意网站来利用此漏洞。如果用户已登录到使用 Ays Pro Popup box 的网站,攻击者就可以利用此漏洞。这种攻击的潜在影响包括网站配置被篡改、用户数据泄露,甚至网站被完全控制。
目前没有公开的利用代码 (PoC)。该漏洞已于 2025 年 12 月 30 日公开。CISA 尚未将其添加到 KEV 目录。由于缺乏公开利用代码,当前利用概率较低,但仍应积极采取缓解措施。
WordPress websites using the Ays Pro Popup box plugin, particularly those running versions 0.0.0 through 6.0.7, are at risk. Shared hosting environments where plugin updates are managed centrally are also at increased risk, as they may not be immediately updated when a vulnerability is disclosed.
• wordpress / composer / npm:
grep -r 'ays-popup-box/ays-popup-box.php' /var/www/html/
wp plugin list | grep 'Ays Pro Popup Box'• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/ays-popup-box/ays-popup-box.php | grep -i 'ays-popup-box'disclosure
漏洞利用状态
EPSS
0.02% (5% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是升级到 Ays Pro Popup box 的 6.0.8 版本或更高版本,该版本修复了此漏洞。如果无法立即升级,可以考虑实施一些临时缓解措施。例如,可以添加 CSRF 令牌到所有关键操作的表单中,以防止未经授权的请求。此外,可以配置 Web 应用防火墙 (WAF) 来检测和阻止 CSRF 攻击。建议定期审查和更新 WordPress 插件,以确保其安全性。
更新到 6.0.8 版本,或更新的修复版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-69021 是 Ays Pro Popup box 插件中发现的跨站请求伪造 (CSRF) 漏洞,允许攻击者冒充用户执行未经授权的操作。
如果您正在使用 Ays Pro Popup box 的 0.0.0 到 6.0.7 版本,则您可能受到此漏洞的影响。请尽快升级。
升级到 Ays Pro Popup box 的 6.0.8 版本或更高版本以修复此漏洞。
目前没有公开的利用代码,但建议采取预防措施以降低风险。
请访问 Ays Pro Popup box 官方网站或 WordPress 插件目录,查找关于 CVE-2025-69021 的安全公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。