概述
CVE-2025-12813是一个影响WordPress Holiday类文章日历插件的高危漏洞,该漏洞在7.1及以下版本中存在,CVSS评分为9.8分(严重级别)。
漏洞描述
WordPress Holiday类文章日历插件在创建缓存文件时,未对用户提供的"contents"参数进行充分的输入清理,导致所有7.1及以下版本都存在远程代码执行漏洞。这使得未经身份验证的攻击者能够在服务器上执行任意代码。
漏洞详情
- 发布时间:2025年11月11日 04:15
- 最后修改:2025年11月11日 04:15
- 远程利用:是
- 漏洞来源:security@wordfence.com
受影响产品
目前尚未记录具体的受影响产品信息:
- 受影响供应商总数:0
- 受影响产品总数:0
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 9.8 | CVSS 3.1 | 严重 | 3.9 | 5.9 | security@wordfence.com | |
| 9.8 | CVSS 3.1 | 严重 | 3.9 | 5.9 | MITRE-CVE |
解决方案
- 将Holiday类文章日历插件更新到已修复远程代码执行漏洞的版本
- 如果没有可用更新,请移除易受攻击的插件
- 对所有用户输入进行清理
- 验证缓存文件创建过程
相关参考资料
- https://plugins.trac.wordpress.org/browser/holiday-class-post-calendar/trunk/holiday_class_post_calendar.php#L1234
- https://www.wordfence.com/threat-intel/vulnerabilities/id/7f7968c4-589c-4949-9f69-4a0ba4db4ea9?source=cve
CWE关联
CWE-94:代码生成控制不当(代码注入)
CAPEC攻击模式
- CAPEC-35:在不可执行文件中利用可执行代码
- CAPEC-77:操作用户控制的变量
- CAPEC-242:代码注入
漏洞历史记录
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 新增 | 描述 | WordPress Holiday类文章日历插件存在远程代码执行漏洞… | |
| 新增 | CVSS V3.1 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | |
| 新增 | CWE | CWE-94 | |
| 新增 | 参考链接 | WordPress插件页面链接 | |
| 新增 | 参考链接 | Wordfence威胁情报链接 |