CVE-2025-14447: pcantoni公司AnnunciFunebri Impresa插件中的CWE-862权限缺失漏洞

严重性：中 类型：漏洞 CVE编号：CVE-2025-14447

漏洞描述

WordPress的AnnunciFunebri Impresa插件由于在annfu_reset_options()函数中缺少能力检查，存在未经授权修改数据的漏洞，影响范围包括直至4.7.0的所有版本。这使得经过身份验证的攻击者（拥有订阅者及以上访问权限）能够删除全部29个插件选项，从而将插件有效重置为默认状态。

技术分析摘要

CVE-2025-14447标识了由pcantoni开发的WordPress插件AnnunciFunebri Impresa中存在的一个权限缺失漏洞（CWE-862）。该缺陷存在于annfu_reset_options()函数中，该函数缺少用于验证用户是否有权重置插件选项的能力检查。这允许任何拥有订阅者级别或更高权限的经过身份验证的用户调用此函数并删除所有29个插件选项，将插件重置为其默认配置。

由于WordPress订阅者角色通常分配给权限最低的用户，此漏洞显著降低了攻击门槛。该漏洞影响该插件直至4.7.0版本的所有版本。其CVSS 3.1基本评分为5.3（中危），攻击向量为网络（远程），攻击复杂度低，除身份验证外无需额外权限，无需用户交互，影响仅限于完整性（数据修改）。该漏洞不直接影响机密性或可用性。目前尚无公开漏洞利用报告，也未有相关补丁发布，这表明用户必须密切关注供应商的更新。攻击者可能利用此漏洞破坏插件配置，导致受影响WordPress站点的操作问题或定制设置丢失。

潜在影响

对于欧洲组织而言，此漏洞主要对由AnnunciFunebri Impresa插件管理的网站数据完整性构成风险。未经授权重置插件选项可能扰乱业务运营，特别是对于那些依赖此插件进行关键公告或服务管理的殡葬服务行业的公司。虽然它不直接危及机密性或可用性，但配置丢失可能导致停机或服务质量下降，影响客户信任和运营效率。

拥有多个订阅者或更高角色用户的组织面临的风险更高，因为攻击者可能利用被攻破或低权限账户来触发重置。在插件被广泛使用且网站可靠性对业务连续性至关重要的行业中，其影响更为显著。此外，已知漏洞利用的缺乏为攻击者在补丁广泛部署之前提供了机会窗口。

缓解建议

为缓解此漏洞，组织应立即审计使用AnnunciFunebri Impresa插件的WordPress站点上的用户角色和权限，确保订阅者级别的账户受到严格控制和监控。将插件管理能力限制在仅受信任的用户。

在官方补丁发布之前，考虑实施Web应用防火墙（WAF）规则，以检测并阻止来自未授权用户对annfu_reset_options()函数的调用。对异常的插件选项重置或配置更改启用监控和告警。定期备份插件配置和网站数据，以便在发生未经授权的重置时能够快速恢复。与插件供应商或社区合作，以获取或贡献一个添加了适当授权检查的补丁。最后，教育站点管理员有关过度分配权限的风险，并鼓励遵循最小权限原则。

受影响国家

意大利、德国、法国、西班牙、英国

技术详情

• 数据版本： 5.2
• 分配者简称： Wordfence
• 预留日期： 2025-12-10T13:54:13.521Z
• CVSS版本： 3.1
• 状态： 已发布
• 威胁ID： 693cef65d977419e584a5094
• 添加到数据库： 2025年12月13日 上午4:45:25
• 最后丰富： 2025年12月13日 上午5:03:12
• 最后更新： 2025年12月13日 上午6:50:23
• 浏览量： 2

来源： CVE数据库 V5 发布日期： 2025年12月13日 星期六