CVE-2025-14447: pcantoni AnnunciFunebri Impresa插件中的CWE-862授权缺失漏洞

严重性： 中等 类型： 漏洞 CVE： CVE-2025-14447

WordPress的AnnunciFunebri Impresa插件由于在annfu_reset_options()函数中缺少权限检查，容易受到未经授权的数据修改。该漏洞影响4.7.0及之前的所有版本。这使得拥有订阅者（Subscriber）级别及以上访问权限的认证攻击者能够删除全部29个插件选项， effectively resetting the plugin to its default state.

技术总结

CVE-2025-14447标识了由pcantoni开发的WordPress插件AnnunciFunebri Impresa中存在的一个授权缺失漏洞（CWE-862）。该缺陷存在于annfu_reset_options()函数中，该函数缺少用于验证用户是否有权重置插件选项的权限检查。这允许任何拥有订阅者级别或更高权限的认证用户调用此函数并删除所有29个插件选项，将插件重置为默认配置。由于WordPress订阅者角色通常分配给权限最低的用户，此漏洞显著降低了攻击门槛。

该漏洞影响该插件的4.7.0及之前的所有版本。其CVSS 3.1基础评分为5.3（中等），攻击向量为网络（远程），攻击复杂度低，除认证外无需其他权限，无需用户交互，影响范围仅限于完整性（数据修改）。该漏洞不直接影响机密性或可用性。目前尚未报告公开的漏洞利用，也没有相关的补丁链接，这表明用户必须密切关注供应商更新。攻击者可利用此漏洞破坏插件配置，可能导致受影响WordPress网站的操作问题或自定义设置丢失。

潜在影响

对于欧洲的组织而言，此漏洞主要对由AnnunciFunebri Impresa插件管理的网站数据完整性构成风险。未经授权重置插件选项可能扰乱业务运营，特别是对于依赖此插件进行关键公告或服务管理的殡葬服务行业的公司。虽然它不直接危及机密性或可用性，但配置丢失可能导致停机或服务质量下降，影响客户信任和运营效率。

拥有多个订阅者或更高角色用户的组织面临的风险更高，因为攻击者可能利用已泄露或低权限账户来触发重置。在插件广泛使用且网站可靠性对业务连续性至关重要的行业，影响更为显著。此外，缺乏已知漏洞利用表明，在补丁广泛部署之前，攻击者存在一个可利用的时间窗口。

缓解建议

为缓解此漏洞，组织应立即审核使用AnnunciFunebri Impresa插件的WordPress网站上的用户角色和权限，确保严格控制并监控订阅者级别账户。将插件管理能力仅限制给受信任的用户。在官方补丁发布之前，考虑实施Web应用防火墙（WAF）规则，以检测并阻止来自未授权用户对annfu_reset_options()函数的调用。对异常的插件选项重置或配置更改实施监控和告警。定期备份插件配置和网站数据，以便在发生未经授权的重置时能够快速恢复。与插件供应商或社区合作，获取或协助开发添加适当授权检查的补丁。最后，教育网站管理员关于分配过多权限的风险，并鼓励遵循最小权限原则。

受影响国家

意大利、德国、法国、西班牙、英国

来源： CVE Database V5 发布日期： 2025年12月13日 星期六