CVE-2025-68562 - WordPress MapSVG plugin <= 8.7.3 - 任意文件上传漏洞
概述
CVE-2025-68562 是一个存在于WordPress MapSVG插件中的严重安全漏洞。该漏洞的CVSS 3.1评分为9.9分(严重等级),允许远程攻击者利用此漏洞。
漏洞描述
此漏洞属于“危险类型文件无限制上传”漏洞(CWE-434)。具体来说,RomanCode开发的MapSVG插件中存在缺陷,允许攻击者向Web服务器上传Web Shell。此问题影响MapSVG插件从n/a版本到8.7.3版本的所有版本。
关键信息:
- 发布日期: 2025年12月29日 22:15
- 最后修改日期: 2025年12月29日 22:15
- 可远程利用: 是
- 漏洞来源: audit@patchstack.com
受影响产品
该漏洞影响以下产品。即使cvefeed.io知晓受影响产品的确切版本,下表也未显示该信息。
- 目前尚无已记录的受影响产品
- 总计受影响供应商:0 | 产品:0
CVSS 评分
通用漏洞评分系统(CVSS)是评估软件和系统漏洞严重性的标准化框架。我们收集并显示每个CVE来自不同来源的CVSS分数。
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 9.9 | CVSS 3.1 | 严重 | 21595511-bba5-4825-b968-b78d1f9984a3 | |||
| 9.9 | CVSS 3.1 | 严重 | 3.1 | 6.0 | audit@patchstack.com | |
| 9.9 | CVSS 3.1 | 严重 | 3.1 | 6 | MITRE-CVE |
CVSS 3.1 基础评分详情:9.9
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 低
- 用户交互: 无
- 作用范围: 已更改
- 机密性影响: 高
- 完整性影响: 高
- 可用性影响: 高
解决方案
限制文件上传,仅允许必要的文件类型。
- 配置上传功能,仅允许特定的文件类型。
- 对上传的文件实施服务器端验证。
- 将应用程序更新到最新版本。
参考、解决方案和工具链接
以下是为CVE-2025-68562提供深入信息、实用解决方案和有价值工具的外部链接精选列表。
CWE - 通用缺陷枚举
CVE标识特定的漏洞实例,而CWE则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-68562与以下CWE相关联:
- CWE-434: 无限制上传危险类型的文件
常见攻击模式枚举与分类
常见攻击模式枚举与分类存储了攻击模式,这些模式描述了攻击者利用CVE-2025-68562弱点的常见属性和方法。
- CAPEC-1: 访问未正确受ACL约束的功能
漏洞历史记录
以下表格列出了CVE-2025-68562漏洞随时间的变化。漏洞历史记录详细信息有助于理解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新变化。
新CVE接收(由 audit@patchstack.com)
-
时间: 2025年12月29日
-
动作: 添加
- 类型: 描述
- 旧值:
- 类型: 描述
-
动作: 添加
- 类型: CVSS V3.1
- 旧值:
- 新值: AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
- 类型: CVSS V3.1
-
动作: 添加
- 类型: CWE
- 旧值:
- 新值: CWE-434
- 类型: CWE
-
动作: 添加
配置错误
漏洞评分解读详情。
EPSS(漏洞被利用预测评分系统)
EPSS是对未来30天内观察到利用活动概率的每日估计。下图显示了该漏洞的EPSS分数历史。