CVE-2025-52835 - WordPress WING WordPress Migrator插件 <= 1.1.9版本 - 跨站请求伪造(CSRF)漏洞
CVE ID、产品、供应商…
概述
漏洞时间线
漏洞描述
GMO WING的ConoHa WordPress Migrator插件存在跨站请求伪造(CSRF)漏洞,可导致向Web服务器上传WebShell。此漏洞影响WING WordPress Migrator插件:从n/a版本到1.1.9版本。
信息
发布日期: 2025年12月30日 下午5:15
最后修改日期: 2025年12月30日 下午5:15
是否可远程利用: 是!
受影响产品
以下产品受CVE-2025-52835漏洞影响。即使cvefeed.io知晓受影响产品的确切版本,下表也未显示该信息。 尚无受影响产品记录 总受影响供应商:0 | 产品:0
CVSS评分
通用漏洞评分系统是一个用于评估软件和系统漏洞严重程度的标准化框架。我们为每个CVE收集并显示来自不同来源的CVSS分数。
| 分数 | 版本 | 严重性 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 9.6 | CVSS 3.1 | 严重 | 21595511-bba5-4825-b968-b78d1f9984a3 | |||
| 9.6 | CVSS 3.1 | 严重 | 2.8 | 6.0 | audit@patchstack.com |
解决方案
更新存在漏洞的WordPress迁移插件至最新版本以修复CSRF漏洞。
- 更新GMO的ConoHa WING WordPress Migrator插件。
- 应用任何可用的安全补丁或更新。
- 检查插件设置以确保安全配置。
公告、解决方案和工具参考
此处为您提供了与CVE-2025-52835相关的深入信息、实用解决方案和有价值工具的外部链接精选列表。
CWE - 通用缺陷枚举
CVE标识特定的漏洞实例,而CWE则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-52835与以下CWE关联:
- CWE-352:跨站请求伪造(CSRF)
常见攻击模式枚举与分类(CAPEC)
常见攻击模式枚举与分类(CAPEC)存储攻击模式,这些模式描述了攻击者利用CVE-2025-52835弱点所采用的常见属性和方法。
- CAPEC-62:跨站请求伪造
- CAPEC-111:JSON劫持
- CAPEC-462:跨域搜索时序
- CAPEC-467:跨站识别
我们扫描GitHub仓库以检测新的概念验证利用程序。以下列表是已发布在GitHub上的公开利用程序和概念验证的集合(按最近更新排序)。 出于潜在性能问题考虑,结果限制在前15个仓库。
以下列表是文章中任何地方提及CVE-2025-52835漏洞的新闻。 出于潜在性能问题考虑,结果限制在前20篇新闻文章。
漏洞时间线详情
以下表格列出了对CVE-2025-52835漏洞随时间所做的更改。漏洞历史详细信息有助于了解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
新CVE由 audit@patchstack.com 接收 - 2025年12月30日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 标签 | unsupported-when-assigned |
| 添加 | CVSS V3.1 | | AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H | | 添加 | CWE | | CWE-352 | | 添加 | 参考链接 | | https://vdp.patchstack.com/database/wordpress/plugin/wing-migrator/vulnerability/wordpress-wing-wordpress-migrator-plugin-1-1-9-cross-site-request-forgery-csrf-vulnerability?_s_id=cve |
EPSS是对未来30天内观察到利用活动概率的每日估计。下图显示了该漏洞的EPSS分数历史。
跨站请求伪造
漏洞评分详情
CVSS 3.1
- 基础CVSS分数:9.6
| 攻击向量 | 攻击复杂性 | 所需权限 | 用户交互 | 范围 | 机密性影响 | 完整性影响 | 可用性影响 |
|---|---|---|---|---|---|---|---|
| 网络 | 低 | 无 | 需要 | 已更改 | 高 | 高 | 高 |