概述
CVE-2025-60225是一个影响WordPress BugsPatrol主题的PHP对象注入漏洞,CVSS 3.1评分为9.8(严重级别)。
漏洞描述
AncoraThemes开发的BugsPatrol主题存在反序列化不可信数据漏洞,允许攻击者进行对象注入。该漏洞影响BugsPatrol主题1.5.0及以下所有版本。
漏洞时间线
- 发布日期:2025年10月22日 15:15
- 最后修改:2025年10月22日 21:12
- 远程利用:是
- 漏洞来源:audit@patchstack.com
受影响产品
目前尚未记录具体的受影响产品信息:
- 受影响供应商总数:0
- 受影响产品数:0
CVSS评分
| 评分 | 版本 | 严重程度 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 9.8 | CVSS 3.1 | 严重 | 3.9 | 5.9 | 134c704f-9b21-4f2e-91b3-4a467353bcc0 |
解决方案
- 将BugsPatrol更新至1.5.1或更高版本以修复对象注入漏洞
- 确保所有不可信数据都经过适当验证
- 避免直接反序列化不可信数据
参考资源
CWE分类
CWE-502:不可信数据的反序列化
CAPEC攻击模式
CAPEC-586:对象注入攻击
漏洞历史记录
2025年10月22日 - 由134c704f-9b21-4f2e-91b3-4a467353bcc0修改
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | CVSS V3.1 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
2025年10月22日 - 由audit@patchstack.com接收新CVE
| 操作 | 类型 | 旧值 | 新值 |
|---|
| 添加 | CWE | | CWE-502 | | 添加 | 参考 | | https://vdp.patchstack.com/database/Wordpress/Theme/bugspatrol/vulnerability/wordpress-bugspatrol-theme-1-5-0-php-object-injection-vulnerability |
漏洞评分详情
CVSS 3.1基础评分:9.8
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:无
- 范围:变更
- 机密性影响:高
- 完整性影响:高
- 可用性影响:高