CVE-2025-11991：jetmonsters JetFormBuilder — Dynamic Blocks Form Builder中的CWE-862缺失授权漏洞

严重性：中 类型：漏洞 CVE编号：CVE-2025-11991

WordPress的JetFormBuilder — Dynamic Blocks Form Builder插件由于在run_callback函数中缺少权限检查，在3.5.3及之前的所有版本中容易受到未经授权的数据修改。这使得未经认证的攻击者能够利用AI生成表单，消耗站点的AI使用限额。

AI分析技术总结

CVE-2025-11991识别了WordPress插件JetFormBuilder — Dynamic Blocks Form Builder（3.5.3及之前版本）中存在的一个缺失授权漏洞（CWE-862）。核心问题在于run_callback函数缺乏适当的权限检查，允许未经认证的攻击者调用基于AI的表单生成功能。此缺陷使攻击者能够在未经许可的情况下动态创建表单，导致未经授权的数据修改和站点AI使用限额的消耗。该漏洞可远程利用，无需任何认证或用户交互，增加了其风险状况。虽然它不直接暴露敏感数据或导致拒绝服务，但未经授权的数据修改可能破坏表单数据的完整性，并可能通过耗尽AI资源配额而干扰正常的站点操作。目前尚未关联补丁，也没有报告主动利用，但该漏洞存在于一个广泛使用的WordPress插件中，使其成为一个显著风险。CVSS 3.1基础分数5.3反映了中等严重性，强调了及时修复的必要性。该漏洞凸显了在插件回调函数中实施强大授权检查以防止未经授权的访问和滥用站点资源的重要性。

潜在影响

对于欧洲组织，此漏洞可能导致未经授权使用AI表单生成功能，从而导致资源耗尽和潜在中断合法站点功能。虽然它不直接损害机密性或可用性，但表单数据的完整性可能受到影响，可能导致不准确或恶意篡改的提交。依赖AI驱动表单进行客户互动、数据收集或自动化工作流的组织可能会因过度的AI使用而体验服务质量的下降或运营成本的增加。此外，攻击者可能利用此缺陷通过注入恶意数据或操纵表单输出来进行进一步的攻击。对于使用JetFormBuilder的高流量WordPress站点的组织，尤其是电子商务、公共服务或数字营销等表单完整性至关重要的行业，其影响更为显著。未能解决此漏洞还可能损害组织声誉和用户信任。

缓解建议

立即缓解步骤包括在可行的情况下禁用JetFormBuilder中的AI表单生成功能，以防止在补丁可用前被未经授权使用。组织应密切监控AI使用指标，以检测表明被利用的异常峰值。实施具有自定义规则的Web应用程序防火墙（WAF）以阻止针对run_callback函数的可疑请求可以减少暴露。通过IP白名单或身份验证代理限制对插件端点的访问增加了额外的安全层。管理员应保持WordPress核心和所有插件的更新，并订阅供应商公告以获取补丁发布。审查并收紧WordPress内的用户角色和权限有助于限制潜在的滥用。最后，进行定期的安全审计和专注于插件漏洞的渗透测试将提高针对类似授权缺陷的整体弹性。

受影响国家

德国、英国、法国、荷兰、意大利、西班牙、波兰、瑞典

技术详情

数据版本：5.2 分配者简称：Wordfence 日期预留：2025-10-20T19:44:03.576Z Cvss版本：3.1 状态：已发布 威胁ID：69410b259bfd1ab9ba9ec080 添加到数据库时间：2025/12/16 上午7:32:53 最后丰富时间：2025/12/16 上午7:48:10 最后更新时间：2025/12/16 上午8:36:08 查看次数：7