CVE-2025-68036 - WordPress CubeWP插件 <= 1.1.27 - 访问控制破坏漏洞
概述
CVSS 3.1 评分:7.5 (高危)
漏洞描述
Emraan Cheema开发的CubeWP插件存在缺失授权漏洞,允许攻击者访问未受访问控制列表(ACL)正确约束的功能。此问题影响CubeWP从n/a版本至1.1.27版本。
漏洞时间线
- 发布日期: 2025年12月30日 00:15
- 最后修改日期: 2025年12月30日 00:15
- 可远程利用: 是
- 漏洞来源: audit@patchstack.com
受影响产品
以下产品受CVE-2025-68036漏洞影响。即使cvefeed.io知晓受影响产品的确切版本,下表也未体现该信息。
- 暂无受影响产品记录
- 总计受影响供应商:0 | 受影响产品:0
CVSS评分
通用漏洞评分系统(CVSS)是评估软件和系统中漏洞严重性的标准化框架。我们收集并显示每个CVE来自不同来源的CVSS分数。
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 7.5 | CVSS 3.1 | 高危 | 21595511-bba5-4825-b968-b78d1f9984a3 | |||
| 7.5 | CVSS 3.1 | 高危 | 3.9 | 3.6 | audit@patchstack.com | |
| 7.5 | CVSS 3.1 | 高危 | 3.9 | 3.6 | MITRE-CVE |
解决方案
- 将CubeWP更新到1.1.27之后的版本,以修复授权绕过问题。
- 将CubeWP更新至最新可用版本。
- 验证访问控制是否正确配置。
- 查阅插件文档以获取安全更新信息。
安全公告、解决方案和工具参考
此处提供了与CVE-2025-68036相关的深入信息、实用解决方案和宝贵工具的外部链接精选列表。
CWE - 通用缺陷枚举
CVE标识漏洞的具体实例,而CWE则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-68036与以下CWE相关联:
- CWE-862: 缺失授权
常见攻击模式枚举与分类 (CAPEC)
常见攻击模式枚举与分类 (CAPEC) 存储攻击模式,这些模式描述了攻击者利用CVE-2025-68036弱点的常见属性和方法。
- CAPEC-665: 利用Thunderbolt保护缺陷
漏洞历史记录
下表列出了CVE-2025-68036漏洞随时间发生的变化。漏洞历史记录详情有助于理解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新变化。
新CVE由 audit@patchstack.com 接收 - 2025年12月30日
| 动作 | 类型 | 旧值 | 新值 |
|---|
| 已添加 | CVSS V3.1 | | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | | 已添加 | CWE | | CWE-862 | | 已添加 | 参考 | | https://vdp.patchstack.com/database/wordpress/plugin/cubewp-framework/vulnerability/wordpress-cubewp-plugin-1-1-27-broken-access-control-vulnerability?_s_id=cve |
漏洞评分详情
CVSS 3.1
- 基础CVSS分数:7.5
| 攻击向量 | 攻击复杂性 | 所需权限 | 用户交互 | 影响范围 | 机密性影响 | 完整性影响 | 可用性影响 |
|---|---|---|---|---|---|---|---|
| 网络 | 低 | 无 | 无 | 未改变 | 高 | 无 | 无 |
| 邻近网络 | 高 | 低 | 必需 | 已改变 | 低 | 低 | 低 |
| 本地 | 高 | 无 | 无 | 无 | |||
| 物理 |