概述
CVE-2025-52737是WordPress WP Store Locator插件中存在的一个PHP对象注入漏洞,影响2.2.260及更早版本。
漏洞描述
WP Store Locator插件存在反序列化不可信数据漏洞,攻击者可通过此漏洞实现对象注入。该漏洞影响WP Store Locator插件从未知版本到2.2.260的所有版本。
漏洞详情
- 发布日期: 2025年10月22日 15:15
- 最后修改: 2025年10月22日 21:12
- 远程利用: 是
- 漏洞来源: audit@patchstack.com
CVSS评分
- 评分: 8.8
- 版本: CVSS 3.1
- 严重程度: 高危
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 低
- 用户交互: 不需要
- 影响范围: 未更改
- 机密性影响: 高
- 完整性影响: 高
- 可用性影响: 高
解决方案
- 将WP Store Locator更新到2.2.260之后的版本
- 应用供应商提供的补丁
- 如果插件不再积极维护,建议移除
相关参考
CWE分类
- CWE-502: 反序列化不可信数据
CAPEC攻击模式
- CAPEC-586: 对象注入
漏洞时间线
- 2025年10月22日: 由audit@patchstack.com报告新CVE
- 2025年10月22日: CVSS评分由134c704f-9b21-4f2e-91b3-4a467353bcc0修改