WordPress IF AS Shortcode插件高危RCE漏洞剖析 (CVE-2025-68897)

本文详细分析了WordPress IF AS Shortcode插件(版本<=1.2)中存在的一个高危远程代码执行(RCE)漏洞。该漏洞源于代码生成控制不当(代码注入),攻击者可利用此漏洞在目标系统上执行任意代码。文章涵盖了漏洞概述、CVSS评分、解决方案及相关安全资源。

CVE-2025-68897 - WordPress IF AS Shortcode插件 <= 1.2 - 远程代码执行(RCE)漏洞

概述

CVE-2025-68897 是一个在WordPress IF AS Shortcode插件中发现的严重安全漏洞。该漏洞影响了1.2及之前的所有版本(包括n/a)。其CVSS 3.1评分为9.9(严重级别)。

漏洞描述

Mohammad I. Okfie开发的IF AS Shortcode插件存在“代码生成控制不当(代码注入)”漏洞。此问题允许攻击者进行代码注入。该漏洞影响IF AS Shortcode插件从n/a版本到1.2版本。

关键时间线

  • 发布日期:2025年12月29日 下午4:15
  • 最后修改日期:2025年12月29日 下午4:15
  • 是否可远程利用:是!
  • 漏洞来源:audit@patchstack.com

受影响产品

截至目前,尚未记录到具体的受影响产品版本信息。

  • 受影响的供应商总数:0
  • 产品总数:0

CVSS 评分详情

评分概览

分数 版本 严重性 向量 可利用性分数 影响分数 来源
9.9 CVSS 3.1 严重 21595511-bba5-4825-b968-b78d1f9984a3
9.9 CVSS 3.1 严重 3.1 6.0 audit@patchstack.com
9.9 CVSS 3.1 严重 3.1 6 MITRE-CVE

CVSS 3.1 基础评分细节

  • 基础CVSS分数:9.9
  • 攻击向量:网络
  • 攻击复杂度:低
  • 所需权限:低
  • 用户交互:无
  • 影响范围:已更改
  • 机密性影响:高
  • 完整性影响:高
  • 可用性影响:高

解决方案

  1. 更新插件:将IF AS Shortcode插件更新到最新版本以修复代码注入漏洞。
  2. 应用补丁:应用供应商提供的补丁。
  3. 验证修复:确认漏洞已不复存在。

相关咨询、解决方案和工具参考链接

URL 资源
https://vdp.patchstack.com/database/wordpress/plugin/if-as-shortcode/vulnerability/wordpress-if-as-shortcode-plugin-1-2-remote-code-execution-rce-vulnerability?_s_id=cve Patchstack漏洞数据库详情

CWE - 常见缺陷枚举

CVE-2025-68897与以下CWE关联:

  • CWE-94: 代码生成控制不当(代码注入)

常见攻击模式枚举与分类(CAPEC)

与利用CVE-2025-68897弱点相关的攻击模式:

  • CAPEC-35: 在非可执行文件中利用可执行代码
  • CAPEC-77: 操作用户控制的变量
  • CAPEC-242: 代码注入

GitHub上的漏洞利用与概念验证(PoC)

我们扫描GitHub仓库以检测新的概念验证利用程序。以下是发布于GitHub上的公共利用和概念验证集合(按最近更新排序)。 (由于潜在性能问题,结果限制在前15个仓库。)

相关新闻报道

以下是文章中提及CVE-2025-68897漏洞的新闻列表。 (由于潜在性能问题,结果限制在前20篇新闻文章。)

漏洞历史记录

下表列出了CVE-2025-68897漏洞随时间发生的变化。漏洞历史详情有助于理解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。

动作 类型 旧值 新值
新增 描述 代码生成控制不当(代码注入)漏洞影响Mohammad I. Okfie的IF AS Shortcode插件,允许代码注入。此问题影响IF AS Shortcode:从n/a到1.2版本。
新增 CVSS V3.1 AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
新增 CWE CWE-94
新增 参考链接 https://vdp.patchstack.com/database/wordpress/plugin/if-as-shortcode/vulnerability/wordpress-if-as-shortcode-plugin-1-2-remote-code-execution-rce-vulnerability?_s_id=cve
记录时间 2025年12月29日 来源 audit@patchstack.com

EPSS(漏洞利用预测评分系统)

EPSS是对未来30天内观察到漏洞利用活动概率的每日估计。下图显示了该漏洞的EPSS分数历史记录。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次