CVE-2025-13387:Ben Ritner Kadence WooCommerce 邮件设计插件跨站脚本漏洞
摘要
在 WordPress 平台的 Ben Ritner Kadence WooCommerce 邮件设计插件(版本至 1.5.17)中发现了一个被归类为“有问题的”漏洞。受影响的组件是一个未知功能。此漏洞操纵会导致跨站脚本攻击。 该漏洞已注册为 CVE-2025-13387。可进行远程利用。目前尚无公开的漏洞利用程序。
详情
在 WordPress 平台的 Ben Ritner Kadence WooCommerce 邮件设计插件(版本至 1.5.17)中发现了一个被归类为“有问题的”漏洞。受此漏洞影响的是某些未知的处理过程。对未知输入的操纵会导致跨站脚本漏洞。该漏洞的 CWE 定义为 CWE-79。该产品在将用户可控的输入放入提供给其他用户的网页输出之前,未对其进行中和或中和不正确。已知其影响完整性。
根据 CVE 的摘要:
Kadence WooCommerce 邮件设计插件在 1.5.17 及之前的所有版本中,由于输入净化和输出转义不足,容易通过客户姓名遭受存储型跨站脚本攻击。这使得未经身份验证的攻击者能够在页面中注入任意 Web 脚本,当用户访问被注入的页面时,这些脚本将被执行。
可以在 wordfence.com 上查阅安全公告。此漏洞编号为 CVE-2025-13387。利用过程似乎很容易。攻击可以远程发起。利用过程不需要任何形式的身份验证。它要求受害者进行某种用户交互。技术细节未知,且没有公开的漏洞利用程序。根据 MITRE ATT&CK,此问题采用的攻击技术是 T1059.007。目前没有关于已知的应对措施的信息。可能建议用替代产品替换受影响的对象。可在 VDB-244546、VDB-305050 和 VDB-320125 中找到类似的条目。
产品信息
类型: 电子商务管理软件 供应商: Ben Ritner 名称: Kadence WooCommerce 邮件设计插件 版本: 1.5.0, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.5.5, 1.5.6, 1.5.7, 1.5.8, 1.5.9, 1.5.10, 1.5.11, 1.5.12, 1.5.13, 1.5.14, 1.5.15, 1.5.16, 1.5.17
CPE 信息
CPE 2.3 与 CPE 2.2 信息处于锁定状态。
CVSS 评分信息
CVSS v4
- VulDB 向量:🔒 (锁定)
- VulDB 可靠性:🔍 (待确认)
CVSS v3
- VulDB 元基础评分:5.7
- VulDB 元临时评分:5.7
- VulDB 基础评分:4.3
- VulDB 临时评分:4.2
- VulDB 向量:🔒 (锁定)
- VulDB 可靠性:🔍 (待确认)
- CNA 基础评分:7.2
- CNA 向量:🔒 (锁定)
CVSS v2
CVSS v2 的各项评分和向量信息均处于锁定状态。
漏洞利用信息
类别: 跨站脚本 CWE: CWE-79 / CWE-94 / CWE-74 CAPEC: 🔒 (锁定) ATT&CK: 🔒 (锁定) 物理访问: 否 本地访问: 否 远程访问: 是 可用性影响: 🔒 (锁定) 状态: 未定义 价格预测: 🔍 (待确认) 当前价格估算: 🔒 (锁定) 0-Day 信息: 各字段均处于锁定状态。
威胁情报信息
关注度: 🔍 (待确认) 活跃攻击者: 🔍 (待确认) 活跃 APT 组织: 🔍 (待确认)
应对措施信息
建议: 无已知缓解措施 状态: 🔍 (待确认) 0-Day 时间: 🔒 (锁定)
时间线
- 2025年12月01日: 安全公告披露
- 2025年12月01日: +0 天,VulDB 条目创建
- 2025年12月02日: +1 天,VulDB 条目最后更新
来源信息
安全公告: wordfence.com 状态: 未定义 CVE: CVE-2025-13387 (🔒 锁定) GCVE (CVE): GCVE-0-2025-13387 GCVE (VulDB): GCVE-100-333955 另请参阅: 🔒 (锁定)
条目信息
创建时间: 2025年12月01日 23:37 更新时间: 2025年12月02日 08:29 变更记录: 2025年12月01日 23:37 (51), 2025年12月02日 08:29 (12) 完整性: 🔍 (待确认)