CVE-2025-14447: pcantoni AnnunciFunebri Impresa插件中的CWE-862缺失授权漏洞

严重性：中等 类型：漏洞

CVE-2025-14447

WordPress的AnnunciFunebri Impresa插件由于在annfu_reset_options()函数中缺少权限检查，存在未经授权修改数据的漏洞，影响所有版本至包括4.7.0。这使得拥有订阅者及以上权限的经过身份验证的攻击者能够删除全部29个插件选项，从而将插件重置为默认状态。

AI分析

技术摘要 CVE-2025-14447标识了pcantoni开发的WordPress AnnunciFunebri Impresa插件中存在一处缺失授权漏洞（CWE-862）。该缺陷存在于annfu_reset_options()函数中，该函数缺少用于验证用户是否有权重置插件选项的权限检查。这使得任何拥有订阅者级别或更高权限的经过身份验证的用户都可以调用此函数并删除全部29个插件选项，将插件重置为默认配置。由于WordPress订阅者角色通常分配给权限最低的用户，此漏洞显著降低了攻击门槛。该漏洞影响该插件所有版本至包括4.7.0。CVSS 3.1基础评分为5.3（中等），攻击向量为网络（远程），攻击复杂度低，除身份验证外无需特权，无需用户交互，影响仅限于完整性（数据修改）。该漏洞不直接影响机密性或可用性。目前尚未报告公开利用代码，也尚未关联补丁，这表明用户必须密切关注供应商更新。攻击者可利用此漏洞破坏插件配置，可能导致受影响的WordPress网站出现操作问题或丢失自定义设置。

潜在影响 对于欧洲组织，此漏洞主要对由AnnunciFunebri Impresa插件管理的网站数据完整性构成风险。未经授权重置插件选项可能干扰业务运营，特别是对于依赖此插件进行关键公告或服务管理的殡葬服务行业公司。虽然它不直接危及机密性或可用性，但配置丢失可能导致停机或服务质量下降，影响客户信任和运营效率。拥有多个订阅者或更高角色用户的组织面临的风险增加，因为攻击者可能利用受损或低权限帐户来触发重置。在插件广泛使用且网站可靠性对业务连续性至关重要的行业，影响更为显著。此外，缺乏已知的利用代码表明，在补丁广泛部署之前，攻击者存在一个机会窗口。

缓解建议 为缓解此漏洞，使用AnnunciFunebri Impresa插件的组织应立即审核其WordPress网站上的用户角色和权限，确保订阅者级别的帐户受到严格控制并受到监控。将插件管理功能仅限于受信任的用户。在官方补丁发布之前，考虑实施Web应用程序防火墙（WAF）规则，以检测和阻止来自未经授权用户的annfu_reset_options()函数调用。对异常的插件选项重置或配置更改实施监控和告警。定期备份插件配置和网站数据，以便在发生未经授权的重置时能够快速恢复。与插件供应商或社区合作，获取或贡献一个添加了适当授权检查的补丁。最后，教育网站管理员关于过度分配权限的风险，并鼓励遵循最小权限原则。

受影响国家 意大利、德国、法国、西班牙、英国

来源： CVE数据库 V5 发布日期： 2025年12月13日，星期六

技术详情 数据版本： 5.2 分配者简称： Wordfence 保留日期： 2025-12-10T13:54:13.521Z Cvss版本： 3.1 状态： 已发布

威胁ID： 693cef65d977419e584a5094 添加到数据库： 2025/12/13，凌晨4:45:25 最后丰富时间： 2025/12/13，凌晨5:03:12 最后更新时间： 2025/12/14，凌晨12:31:07 浏览量： 10