CVE-2025-13092: ajitdas Devs CRM 插件中的 CWE-862 缺失授权漏洞

严重性：中 类型：漏洞

CVE-2025-13092

WordPress 插件 “Devs CRM – Manage tasks, attendance and teams all together” 因在其所有版本（包括 1.1.8 及之前版本）中，对 /wp-json/devs-crm/v1/attendances REST API 端点缺少能力检查，导致存在未经授权访问数据的漏洞。这使得未经身份验证的攻击者能够检索私人用户数据，包括密码哈希值。

AI 分析

技术总结

CVE-2025-13092 标识了 WordPress 插件 “ajitdas Devs CRM – Manage tasks, attendance and teams all together” 中存在的一个缺失授权漏洞（CWE-862）。该漏洞存在于 REST API 端点 /wp-json/devs-crm/v1/attendances，该端点缺乏适当的能力检查，允许未经身份验证的攻击者检索敏感用户数据，包括密码哈希值。此问题影响该插件的所有版本，包括 1.1.8 及之前版本。

该漏洞可被远程利用，无需任何身份验证或用户交互，正如其 CVSS 向量（AV:N/AC:L/PR:N/UI:N）所示。CVSS 评分为 5.3，反映了中等级别的严重性，主要是由于对机密性造成影响，而完整性和可用性未受影响。尽管尚未报告有公开的漏洞利用程序，但密码哈希值的暴露可能助长离线破解尝试，进而可能导致账户被入侵。该插件用于管理任务、考勤和团队，这表明其可能部署在存储敏感员工数据的组织环境中。REST API 端点缺乏授权检查是常见的安全疏忽，可能导致数据泄露。该漏洞于 2025 年 12 月 13 日发布，目前尚未链接任何补丁或修复程序，这表明用户必须实施临时缓解措施。该漏洞由 Wordfence 分配，并在 CVE 数据库中记录。

潜在影响

对于欧洲组织而言，此漏洞带来了未经授权披露数据的重大风险，特别是私人用户信息和密码哈希值。密码哈希值的暴露可能导致通过离线暴力破解或字典攻击导致凭证泄露，可能使攻击者能够提升权限或在网络内横向移动。依赖 ajitdas Devs CRM 插件管理员工考勤和团队任务的组织可能面临违反 GDPR 的隐私侵犯行为，从而导致监管处罚和声誉损害。敏感员工数据的泄露也可能扰乱内部运营并侵蚀信任。由于该漏洞无需身份验证和用户交互，因此可以远程大规模利用，增加了广泛数据泄露的风险。中等的 CVSS 评分反映了中等程度的影响，但如果攻击者成功破解密码哈希值，实际损害可能会更高。尚未发现野外利用程序降低了直接威胁，但并未消除未来风险。使用此插件的 WordPress 欧洲中小型企业和企业尤其脆弱，特别是在金融、医疗保健和公共管理等具有严格数据保护要求的行业。

缓解建议

在官方补丁发布之前，组织应实施以下具体缓解措施：

通过配置 Web 应用程序防火墙（WAF）或反向代理来阻止对 /wp-json/devs-crm/v1/attendances 的未经验证请求，从而限制对易受攻击的 REST API 端点的访问。
如果 ajitdas Devs CRM 插件对业务运营不关键，则禁用它或将其移除。
强制执行强密码策略，并考虑重置其哈希值可能已暴露的用户的密码。
监控 Web 服务器和 WordPress 日志，查找针对 REST API 端点的异常访问模式。
在可行的情况下，通过使用插件或自定义代码为未经身份验证的用户禁用 WordPress REST API，从而限制其暴露。
对 WordPress 内的用户账户和权限进行彻底审计，以确保应用最小权限原则。
及时关注供应商公告，并在补丁可用后立即应用。
教育管理员了解在没有授权检查的情况下暴露敏感端点的风险。这些针对性措施超越了通用建议，重点关注特定的易受攻击端点和插件上下文。

受影响国家

德国、英国、法国、意大利、西班牙、荷兰、波兰、瑞典

来源： CVE Database V5 发布日期： 2025年12月13日星期六

技术详情

数据版本： 5.2
分配者简称： Wordfence
保留日期： 2025-11-12T20:40:30.930Z
Cvss 版本： 3.1
状态： 已发布

威胁 ID： 693cef62d977419e584a4fec 添加到数据库： 2025年12月13日上午4:45:22 最后丰富信息： 2025年12月13日上午5:08:08 最后更新： 2025年12月14日上午10:28:43 浏览量： 14