CVE-2025-12061 - Tax Service Electronic HDM < 1.2.1 - 未授权任意SQL执行
概述
CVE ID: CVE-2025-12061 产品: Tax Service Electronic HDM WordPress插件 漏洞等级: 高危 (CVSS 3.1评分: 8.6)
漏洞描述
TAX SERVICE Electronic HDM WordPress插件在1.2.1版本之前,在其某个AJAX操作中缺乏授权和CSRF(跨站请求伪造)检查,允许未认证的用户导入并执行任意SQL语句。
漏洞时间线
- 发布日期: 2025年11月26日 上午6:15
- 最后修改日期: 2025年11月26日 下午3:15
- 远程利用可能性: 是
- 漏洞来源: contact@wpscan.com
受影响产品
目前尚未记录具体的受影响产品信息。 总受影响供应商: 0 | 产品: 0
CVSS评分详情
评分: 8.6 (CVSS 3.1) 严重性: 高危 向量: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N 可利用性评分: 3.9 影响评分: 4.0 评分来源: 134c704f-9b21-4f2e-91b3-4a467353bcc0
CVSS 3.1 基础评分详情:
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 无
- 影响范围: 已更改
- 机密性影响: 高
- 完整性影响: 无
- 可用性影响: 无
解决方案
- 更新插件: 将TAX SERVICE Electronic HDM WordPress插件更新至1.2.1或更高版本。
- 验证安全措施: 确认插件的授权和CSRF检查功能已启用。
- 清理数据: 移除任何未经授权的已导入SQL语句。
参考链接
关联的CWE(常见缺陷枚举)
此CVE漏洞与以下常见弱点类别相关联。
关联的CAPEC(常见攻击模式枚举与分类)
CAPEC存储了攻击模式描述,这些模式描述了攻击者利用CVE-2025-12061弱点的常用属性和方法。
公开的漏洞利用代码(PoC)
我们在GitHub仓库中扫描新出现的概念验证利用代码。以下是已发布在GitHub上的公开漏洞利用和概念验证代码集合(按最近更新排序)。 由于潜在的性能问题,结果限制在前15个仓库。
相关新闻报道
以下是文章中提及CVE-2025-12061漏洞的新闻报道列表。 由于潜在的性能问题,结果限制在前20篇新闻报道。
漏洞历史记录
下表列出了CVE-2025-12061漏洞随时间的变化情况。漏洞历史记录详细信息有助于理解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新变化。
由 134c704f-9b21-4f2e-91b3-4a467353bcc0 于 2025年11月26日 修改
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | CVSS V3.1 | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N |
由 contact@wpscan.com 于 2025年11月26日 接收的新CVE
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | The TAX SERVICE Electronic HDM WordPress plugin before 1.2.1 does not authorization and CSRF checks in an AJAX action, allowing unauthenticated users to import and execute arbitrary SQL statements | |
| 添加 | 参考链接 | https://wpscan.com/vulnerability/1015dd69-faa5-4008-8884-f497ff980ed3/ |
EPSS(漏洞利用预测评分系统)
EPSS是对未来30天内观察到漏洞利用活动概率的每日估计。下图显示了该漏洞的EPSS评分历史。
授权
漏洞评分详情
- CVSS 3.1
基础CVSS评分: 8.6
| 指标 | 选项 |
|---|---|
| 攻击向量 | 网络 / 相邻网络 / 本地 / 物理 |
| 攻击复杂度 | 低 / 高 |
| 所需权限 | 无 / 低 / 高 |
| 用户交互 | 无 / 必需 |
| 影响范围 | 已更改 / 未更改 |
| 机密性影响 | 高 / 低 / 无 |
| 完整性影响 | 高 / 低 / 无 |
| 可用性影响 | 高 / 低 / 无 |
2025 © cvefeed.io | 隐私政策 | 服务条款 | 退款政策 |