WordPress插件 Moderate Selected Posts 曝CSRF漏洞,影响版本1.4及以下
原创
WordPress插件 Moderate Selected Posts 曝CSRF漏洞,影响版本1.4及以下
原创
qife122
发布于 2026-02-14 09:41:49
发布于 2026-02-14 09:41:49
漏洞概述
CVE-2025-14907 是一个影响 WordPress Moderate Selected Posts 插件的安全漏洞。该漏洞属于跨站请求伪造(CSRF),影响版本1.4及以下。
漏洞描述
由于插件在 msp_admin_page() 函数中缺少 Nonce(随机数)验证,未经身份验证的攻击者可以通过伪造请求来修改插件设置。攻击者需要诱骗已登录的网站管理员执行一个恶意操作(例如点击一个恶意链接),从而利用该漏洞。
漏洞详情
字段 | 信息 |
|---|---|
CVE ID | CVE-2025-14907 |
公开日期 | 2026年1月24日 |
CVSS 3.1 评分 | 4.3 (中等) |
攻击向量 | 网络 |
攻击复杂度 | 低 |
所需权限 | 无 |
需要用户交互 | 需要 |
影响范围 | 未改变 |
机密性影响 | 无 |
完整性影响 | 低 |
可用性影响 | 无 |
利用方式 | 远程 |
漏洞来源 | security@wordfence.com |
受影响产品
- 产品: Moderate Selected Posts 插件
- 厂商: WordPress
- 受影响版本: 1.4及以下所有版本
解决方案
- 立即更新插件: 将 Moderate Selected Posts 插件更新到最新的 1.5版本 或更高版本,该版本已修复此CSRF漏洞。
- 验证修复: 更新后,建议验证插件代码中是否正确实施了Nonce验证。
- 临时措施: 如果无法立即更新,或该插件不再需要,建议将其停用并删除,以消除潜在风险。
技术参考
相关链接
漏洞分类 (CWE)
- CWE-352: 跨站请求伪造 (CSRF)
常见攻击模式 (CAPEC)
- CAPEC-62: 跨站请求伪造
- CAPEC-111: JSON劫持 (又名 JavaScript 劫持)
- CAPEC-462: 跨域搜索计时
- CAPEC-467: 跨站识别FINISHED LQuBhaqoQIY4rPtQA72Cjg7QBqM4uFgolxdjEx1zlRiT6gYlEPbp44kE341IbE/d
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
评论
登录后参与评论
推荐阅读
目录
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号