概述
CVE-2025-60209是一个存在于WordPress Connector for Gravity Forms and Google Sheets插件中的PHP对象注入漏洞,影响版本从n/a到1.2.6(含)。
漏洞描述
CRM Perks开发的Connector for Gravity Forms and Google Sheets插件(wp-gravity-forms-spreadsheets)存在不可信数据反序列化漏洞,允许攻击者进行对象注入。该漏洞影响Connector for Gravity Forms and Google Sheets插件从n/a版本到1.2.6版本。
漏洞时间线
- 发布日期:2025年10月22日 15:15
- 最后修改:2025年10月22日 21:15
- 远程利用:是
- 信息来源:audit@patchstack.com
受影响产品
目前尚未记录具体的受影响产品信息:
- 受影响供应商总数:0
- 产品数量:0
CVSS评分
CVSS 3.1评分:8.2(高危)
| 指标 | 值 |
|---|---|
| 攻击向量 | 网络 |
| 攻击复杂度 | 低 |
| 所需权限 | 无 |
| 用户交互 | 无 |
| 作用域 | 未更改 |
| 机密性影响 | 低 |
| 完整性影响 | 高 |
| 可用性影响 | 无 |
详细评分:
- 可利用性评分:3.9
- 影响评分:4.2
- 向量:AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N
解决方案
- 将插件更新到修复了对象注入漏洞的版本
- 更新插件到1.2.7或更高版本
- 应用供应商提供的安全补丁
- 如果没有可用的补丁,请移除该插件
参考信息
咨询链接:
CWE分类
CWE-502:不可信数据的反序列化
CAPEC攻击模式
CAPEC-586:对象注入
漏洞历史记录
2025年10月22日 - 由134c704f-9b21-4f2e-91b3-4a467353bcc0修改
- 操作:添加CVSS V3.1评分
- 旧值:无
- 新值:AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N
2025年10月22日 - 由audit@patchstack.com接收新CVE
- 操作:添加描述
- 操作:添加CWE分类
- 操作:添加参考链接