CVE-2025-12113 - Alt Text Generator AI插件API密钥删除漏洞
概述
WordPress的Alt Text Generator AI – Auto Generate & Bulk Update Alt Texts For Images插件在1.8.3及以下版本中存在数据未经授权丢失的漏洞。
漏洞描述
由于在atgai_delete_api_key()函数中缺少权限检查,使得拥有订阅者级别及以上权限的经过身份验证的攻击者能够删除连接到站点的API密钥。
技术细节
- 漏洞类型: 缺失授权(CWE-862)
- CVSS评分: 4.3(中危)
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 低
- 用户交互: 不需要
- 影响范围: 未改变
- 机密性影响: 无
- 完整性影响: 低
- 可用性影响: 无
解决方案
- 将Alt Text Generator AI插件更新到解决API密钥删除权限检查问题的最新版本
- 验证API密钥删除权限
- 确保实施适当的授权检查
参考链接
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3390619%40alt-text-generator&new=3390619%40alt-text-generator&sfp_email=&sfph_mail=
- https://www.wordfence.com/threat-intel/vulnerabilities/id/5309e891-ced1-496f-8ee5-c089a91a7666?source=cve
时间线
- 发布日期: 2025年11月12日
- 最后修改: 2025年11月12日
- 远程利用: 是
- 信息来源: security@wordfence.com