CVE-2025-12971 - Folders <= 3.1.5 - 认证用户(贡献者+)因授权不当导致的文件夹内容操纵
概述
漏洞时间线
描述
WordPress 插件 “Folders – Unlimited Folders to Organize Media Library Folder, Pages, Posts, File Manager” 因对 wcp_change_post_folder 函数的权限检查配置错误,导致存在未经授权的数据修改漏洞。此漏洞影响至 3.1.5 版本在内的所有版本。这使得拥有贡献者(Contributor)及以上权限的认证攻击者,能够将任意文件夹内容移动到任意文件夹。
信息
发布日期: 2025年11月27日,下午1:15 最后修改日期: 2025年11月27日,下午1:15 可远程利用: 是! 来源: security@wordfence.com
受影响产品
以下产品受到 CVE-2025-12971 漏洞的影响。即使 cvefeed.io 已知受影响产品的确切版本,下表也未展示该信息。
暂无记录受影响产品 总计受影响供应商: 0 | 产品: 0
CVSS 分数
通用漏洞评分系统(CVSS)是一个用于评估软件和系统中漏洞严重程度的标准化框架。我们为每个 CVE 收集并展示来自不同来源的 CVSS 分数。
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 4.3 | CVSS 3.1 | 中等 | 2.8 | 1.4 | security@wordfence.com |
解决方案
将插件更新到已修复权限检查的版本。
- 将插件更新到 3.1.6 或更高版本。
- 验证权限检查是否已正确执行。
公告、解决方案和工具参考
在这里,您可以找到与 CVE-2025-12971 相关的提供深入信息、实用解决方案和有价值工具的外部链接精选列表。
CWE - 通用缺陷枚举
CVE 标识特定的漏洞实例,而 CWE 则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-12971 与以下 CWE 相关:
- CWE-863:不正确的授权
通用攻击模式枚举和分类(CAPEC)
通用攻击模式枚举和分类(CAPEC)存储攻击模式,这些模式描述了攻击者利用 CVE-2025-12971 弱点的常用属性和方法。
我们扫描 GitHub 仓库以检测新的概念验证利用程序。以下列表是在 GitHub 上发布的公开利用程序和概念验证的集合(按最近更新时间排序)。 由于潜在的性能问题,结果限制在前 15 个仓库。
以下列表是文章中提及 CVE-2025-12971 漏洞的新闻。 由于潜在的性能问题,结果限制在前 20 篇新闻文章。
时间线详情
以下表格列出了 CVE-2025-12971 漏洞随时间发生的变化。漏洞历史详情有助于理解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
| 时间 | 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|---|
| 2025年11月27日 | 新增 CVE 接收 | 由 security@wordfence.com | ||
| 2025年11月27日 | 添加 | 描述 | 描述内容 | |
| 2025年11月27日 | 添加 | CVSS V3.1 | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N | |
| 2025年11月27日 | 添加 | CWE | CWE-863 | |
| 2025年11月27日 | 添加 | 参考 | https://plugins.trac.wordpress.org/browser/folders/trunk/includes/folders.class.php#L3291 | |
| 2025年11月27日 | 添加 | 参考 | https://plugins.trac.wordpress.org/changeset/3402986/ | |
| 2025年11月27日 | 添加 | 参考 | https://research.cleantalk.org/cve-2025-12971/ | |
| 2025年11月27日 | 添加 | 参考 | https://www.wordfence.com/threat-intel/vulnerabilities/id/f3845111-8419-4bb2-b22d-f9ae22fb7d6a?source=cve |
EPSS(漏洞利用预测评分系统)是对未来30天内观察到利用活动概率的每日估计。下图显示了该漏洞的 EPSS 分数历史。
授权
漏洞评分详情
CVSS 3.1
- 基础 CVSS 分数:4.3
| 攻击向量 | 攻击复杂度 | 所需权限 | 用户交互 | 影响范围 | 机密性影响 | 完整性影响 | 可用性影响 |
|---|---|---|---|---|---|---|---|
| 网络 | 低 | 低 | 无 | 未更改 | 无 | 低 | 无 |
© 2025 cvefeed.io 隐私政策 | 服务条款 | 退款政策
加载中…
CVEFeed.io 界面自定义器
每个人显示器的尺寸和风格都不同。您可以根据自己的喜好自定义 CVEFeed.io 仪表板。
布局 选择您的布局
- 垂直
- 水平
- 两栏
配色方案 选择浅色或深色方案。
- 浅色
- 深色
布局宽度 选择流式或盒式布局。
- 流式
- 盒式
布局位置 选择固定或可滚动的布局位置。
- 固定
- 可滚动
顶栏颜色 选择浅色或深色的顶栏颜色。
- 浅色
- 深色
侧边栏大小 选择侧边栏的大小。
- 默认
- 紧凑
- 小(图标视图)
- 小悬停视图
侧边栏视图 选择默认或分离的侧边栏视图。
- 默认
- 分离
侧边栏颜色 选择侧边栏的颜色。
- 浅色
- 深色
- 渐变
预加载器 选择一个预加载器。
- 启用
- 禁用
重置