CVE-2025-13092: CWE-862 ajitdas Devs CRM插件中的授权缺失漏洞 - 实时威胁情报 - 威胁雷达 | OffSeq.com

严重性: 中等 类型: 漏洞

CVE-2025-13092

WordPress插件“Devs CRM – Manage tasks, attendance and teams all together”在所有版本（包括1.1.8及之前版本）中，由于/wp-json/devs-crm/v1/attendances REST API端点缺少能力检查，容易受到未经授权的数据访问。这使得未经身份验证的攻击者能够检索私人用户数据，包括密码哈希。

AI分析

技术摘要 CVE-2025-13092标识了WordPress插件ajitdas Devs CRM – Manage tasks, attendance and teams all together中存在一个授权缺失漏洞（CWE-862）。该漏洞存在于REST API端点/wp-json/devs-crm/v1/attendances中，该端点缺少适当的能力检查，允许未经身份验证的攻击者检索敏感用户数据，包括密码哈希。此问题影响所有插件版本，包括1.1.8及之前版本。该漏洞可远程利用，无需任何身份验证或用户交互，如CVSS向量（AV:N/AC:L/PR:N/UI:N）所示。CVSS评分为5.3，反映了中等严重级别，主要归因于机密性影响，而完整性和可用性不受影响。尽管尚未报告公开的利用方式，但密码哈希的暴露可能有助于离线破解尝试，可能导致账户被盗。该插件用于管理任务、考勤和团队，这表明它部署在存储敏感员工数据的组织环境中。REST API端点缺乏授权检查是常见的安全疏忽，可能导致数据泄露。该漏洞于2025年12月13日发布，尚未关联任何补丁或修复程序，表明用户必须实施临时缓解措施。该漏洞由Wordfence分配，并在CVE数据库中跟踪。

潜在影响 对于欧洲组织而言，此漏洞带来了未经授权数据泄露的重大风险，尤其是私人用户信息和密码哈希。密码哈希的暴露可能导致通过离线暴力破解或字典攻击导致凭据泄露，可能使攻击者能够在网络内提升权限或横向移动。依赖ajitdas Devs CRM插件管理员工考勤和团队任务的组织可能面临GDPR下的隐私违规，导致监管处罚和声誉损害。敏感员工数据的泄露也可能扰乱内部运营并侵蚀信任。由于该漏洞不需要身份验证和用户交互，可以远程大规模利用，增加了广泛数据泄露的风险。中等CVSS评分反映了中等影响，但如果攻击者成功破解密码哈希，实际损害可能更高。尚未出现已知的在野利用减少了直接威胁，但并未消除未来风险。使用带有此插件的WordPress的欧洲中小企业和企业尤其脆弱，特别是在金融、医疗保健和公共管理等有严格数据保护要求的行业。

缓解建议 在官方补丁发布之前，组织应实施以下具体缓解措施：

1. 通过配置Web应用程序防火墙（WAF）或反向代理来阻止对/wp-json/devs-crm/v1/attendances的未经身份验证的请求，从而限制对易受攻击的REST API端点的访问。
2. 如果ajitdas Devs CRM插件对业务运营不关键，则禁用它或将其移除。
3. 强制执行强密码策略，并考虑为哈希可能已暴露的用户重置密码。
4. 监控Web服务器和WordPress日志，查找针对REST API端点的异常访问模式。
5. 在可行的情况下，通过使用插件或自定义代码为未经身份验证的用户禁用WordPress REST API，从而限制其暴露。
6. 对WordPress内的用户帐户和权限进行全面审核，以确保应用最小权限原则。
7. 随时关注供应商公告，并在补丁可用后立即应用。
8. 教育管理员了解在没有授权检查的情况下暴露敏感端点的风险。这些有针对性的行动超越了通用建议，专注于特定的易受攻击端点和插件上下文。

受影响国家 德国、英国、法国、意大利、西班牙、荷兰、波兰、瑞典

技术细节 数据版本: 5.2 分配者简称: Wordfence 保留日期: 2025-11-12T20:40:30.930Z CVSS版本: 3.1 状态: 已发布 威胁ID: 693cef62d977419e584a4fec 添加到数据库: 2025年12月13日，上午4:45:22 最后丰富时间: 2025年12月13日，上午5:08:08 最后更新时间: 2025年12月14日，上午1:45:52 浏览量: 10