CVE-2025-14288: CWE-862 gallerycreator Gallery Blocks with Lightbox插件中的授权缺失漏洞

严重性：中 类型：漏洞

CVE-2025-14288

WordPress插件“Gallery Blocks with Lightbox. Image Gallery, (HTML5 video , YouTube, Vimeo) Video Gallery and Lightbox for native gallery”在3.3.0及之前的所有版本中，存在未经授权修改插件设置的漏洞。这是由于插件在AJAX处理器pgc_sgb_action_wizard中针对update_option操作类型，使用了edit_posts权限检查而非manage_options。这使得经过身份验证的攻击者，只要拥有贡献者（Contributor）及以上级别的访问权限，就能够修改以pgc_sgb_*为前缀的任意插件设置。

AI分析

技术摘要 CVE-2025-14288 标识了WordPress插件“Gallery Blocks with Lightbox. Image Gallery, (HTML5 video, YouTube, Vimeo) Video Gallery and Lightbox for native gallery”中存在的一个授权缺失漏洞（CWE-862），影响3.3.0及之前的所有版本。根本原因是插件在负责更新插件选项的AJAX处理器“pgc_sgb_action_wizard”中进行了不恰当的权限检查。插件没有验证通常为管理员保留的“manage_options”能力，而只检查了“edit_posts”能力，该能力被授予贡献者（Contributor）等较低权限角色。此授权缺陷允许任何拥有贡献者或更高级别访问权限的经过身份验证的用户，修改以“pgc_sgb_*”为前缀的任意插件设置。这些设置控制着WordPress站点上图库和灯箱的行为与外观。尽管该漏洞不允许直接窃取数据或导致拒绝服务，但对插件设置的未经授权更改可能导致站点配置错误、潜在的权限提升，或结合其他漏洞插入恶意内容。其CVSS v3.1基本评分为4.3（中），反映了该漏洞对机密性和可用性影响有限，但对完整性有显著影响。截至目前，尚未报告公开的漏洞利用程序，但由于任何拥有贡献者权限的经过身份验证的用户均可轻易利用，这对多用户WordPress环境构成了重大风险。缺乏补丁链接表明用户应监控供应商的更新或应用手动缓解措施。

潜在影响 对于欧洲组织，特别是那些依赖WordPress进行内容管理并使用受影响插件的组织，此漏洞对网站内容和配置的完整性构成风险。对插件设置的未经授权修改可能导致图库显示被更改、恶意内容被注入或用户体验遭到破坏，这可能会损害品牌声誉和用户信任。虽然该漏洞不会直接危及敏感数据的机密性或可用性，但如果与其他漏洞结合，它可能被用作进一步攻击（例如权限提升或跨站脚本攻击）的立足点。拥有多用户WordPress安装的组织，如媒体公司、教育机构和电子商务网站，面临的风险尤其高。在广泛授予或监控不足的贡献者级别访问权限的环境中，影响更为严重。鉴于WordPress在欧洲的广泛使用，如果未解决，该漏洞可能影响大量网站。

缓解建议 为缓解此漏洞，欧洲组织应首先审核其WordPress用户角色，并仅将贡献者级别访问权限限制给受信任的用户。限制具有编辑能力的用户数量可减少攻击面。管理员应定期监控和审查插件设置是否存在未经授权的更改。在官方补丁发布之前，如果非必需，请考虑禁用或移除易受攻击的插件。如果该插件至关重要，请实施Web应用防火墙（WAF）规则，以阻止来自非管理用户的、针对“pgc_sgb_action_wizard”处理程序的未经授权的AJAX请求。此外，对WordPress角色应用最小权限原则并采用多因素认证可以进一步降低风险。组织应订阅供应商和安全邮件列表，以及时获取更新和补丁。最后，定期进行专注于WordPress插件的安全评估和渗透测试，有助于主动检测类似的授权问题。

受影响国家 德国、英国、法国、荷兰、意大利、西班牙、波兰、瑞典

技术详情

• 数据版本： 5.2
• 分配者简称： Wordfence
• 发布日期： 2025年12月13日
• CVSS版本： 3.1
• 状态： 已发布

来源： CVE数据库 V5 发布日期： 2025年12月13日（协调世界时 04:31:25） 供应商/项目： gallerycreator 产品： Gallery Blocks with Lightbox. Image Gallery, (HTML5 video , YouTube, Vimeo) Video Gallery and Lightbox for native gallery