CVE-2025-13866: CWE-862 在looks_awesome Flow-Flow Social Feed Stream中缺失授权

严重性： 中等 类型： 漏洞

CVE-2025-13866

WordPress的Flow-Flow Social Feed Stream插件在3.0.0至4.7.5版本中，由于对flow_flow_social_auth AJAX操作缺少能力检查，容易受到未经授权的数据修改。这使得经过身份验证的攻击者（具有订阅者级别及以上访问权限）可以修改插件设置，并存储任意JavaScript代码，这些代码会在每次查看插件设置页面时执行。

AI分析

技术摘要

CVE-2025-13866是在WordPress的Flow-Flow Social Feed Stream插件中发现的一个漏洞，影响3.0.0至4.7.5版本。根本原因是对AJAX操作flow_flow_social_auth缺少授权检查（CWE-862），这使得具有最低权限（订阅者级别或更高）的经过身份验证的用户可以在没有适当能力验证的情况下修改插件设置。这种未经授权的修改能力使攻击者能够在插件设置中存储任意JavaScript代码。恶意JavaScript代码在访问插件设置页面时执行，可能允许跨站脚本攻击或其他客户端攻击。该漏洞可通过网络远程利用，无需用户交互，攻击复杂度低，仅需要经过身份验证的访问。CVSS 3.1基础评分为6.4，表明为中等严重性级别，对机密性和完整性有部分影响，但对可用性没有影响。范围已更改（S:C），因为该漏洞影响了攻击者初始权限之外的资源。目前没有链接补丁，也没有已知的在野利用报告。该漏洞于2025年12月12日公开披露，由Wordfence分配。该插件广泛用于在WordPress网站上聚合社交媒体源，这使得该漏洞对许多依赖此插件进行社交媒体集成的组织具有相关性。

潜在影响

对于欧洲组织而言，此漏洞主要对使用Flow-Flow Social Feed Stream插件的WordPress站点的完整性和机密性构成风险。具有低级身份验证访问权限的攻击者可以注入恶意JavaScript，可能导致会话劫持、凭据盗窃或进一步利用站点访问者或管理员。这可能会损害组织声誉，导致数据泄露，并在管理员帐户被攻陷时促进网络内的横向移动。该漏洞不直接影响可用性，但如果被用于更广泛的攻击，可能会间接导致服务中断。拥有多用户WordPress环境的组织，如媒体公司、电子商务网站和公共部门网站，尤其容易受到攻击。在订阅者或低权限帐户容易被创建或攻陷的环境中，风险会更高。鉴于插件的网络暴露性且无需用户交互，利用过程可以自动化或集成到针对欧洲WordPress基础设施的更广泛的攻击活动中。

缓解建议

即时缓解步骤包括将WordPress管理区域（尤其是插件设置页面）的访问权限限制为仅限受信任用户。实施严格的基于角色的访问控制，以确保只有必要用户才能访问插件的配置。监控和审计具有订阅者级别权限的用户帐户，以检测可疑活动。使用具有自定义规则的Web应用程序防火墙来阻止针对flow_flow_social_auth的未经授权的AJAX请求。如果非必需，请在安全补丁发布之前禁用或移除Flow-Flow Social Feed Stream插件。一旦有补丁可用，请及时将插件更新到包含适当授权检查的安全版本。此外，实施内容安全策略标头以减轻注入的JavaScript的影响。定期审查并强化WordPress安全配置，包括限制插件安装以及对所有具有管理区域访问权限的用户强制执行强身份验证机制（如多因素认证）。

受影响国家 德国、英国、法国、荷兰、意大利、西班牙

来源： CVE数据库 V5 发布时间： 2025年12月12日 星期五