CVE-2025-13342 - DynamiApps的Frontend Admin插件(<= 3.28.20版本)- 未授权任意选项更新
概述
漏洞时间线
描述
DynamiApps开发的WordPress插件Frontend Admin在3.28.20及之前的所有版本中,存在未授权任意修改WordPress选项的漏洞。此漏洞源于ActionOptions::run()保存处理程序中缺乏足够的权限检查和输入验证。这使得未经身份验证的攻击者能够通过向公开的前端表单提交特制的表单数据,修改关键的WordPress选项,例如users_can_register、default_role和admin_email。
信息
发布日期: 2025年12月3日 下午1:16 最后修改日期: 2025年12月4日 下午5:15 远程利用: 是! 来源: security@wordfence.com
受影响产品
以下产品受到CVE-2025-13342漏洞的影响。即使cvefeed.io了解受影响产品的确切版本,下表中也未展示该信息。
| ID | 供应商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Dynamiapps | frontend_admin |
总计受影响供应商: 1 | 产品: 1
CVSS评分
通用漏洞评分系统是一个用于评估软件和系统中漏洞严重程度的标准化框架。我们为每个CVE收集并展示来自不同来源的CVSS分数。
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 9.8 | CVSS 3.1 | 严重 | 3.9 | 5.9 | security@wordfence.com |
解决方案
更新Frontend Admin插件到已解决权限检查和输入验证不足问题的版本。
- 更新Frontend Admin插件到最新版本。
- 验证权限检查和输入验证是否已强制执行。
相关咨询、解决方案和工具参考
在这里,您将找到与CVE-2025-13342相关的精选外部链接,这些链接提供了深入的信息、实用的解决方案和有价值的工具。
| URL | 资源 |
|---|---|
| https://plugins.trac.wordpress.org/changeset/3400432/acf-frontend-form-element | |
| https://www.wordfence.com/threat-intel/vulnerabilities/id/613f2035-3061-429b-b218-83805287e4f3?source=cve |
CWE - 通用缺陷枚举
CVE标识具体的漏洞实例,而CWE则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-13342与以下CWE关联:
CWE-862: 授权缺失
常见攻击模式枚举与分类 (CAPEC)
常见攻击模式枚举与分类存储攻击模式,这些模式描述了对手利用CVE-2025-13342弱点的常见属性和方法。
CAPEC-665: 利用Thunderbolt保护缺陷
漏洞时间线详情
漏洞历史详情有助于理解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
新CVE由security@wordfence.com接收 2025年12月3日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | The Frontend Admin by DynamiApps plugin for WordPress is vulnerable to unauthorized modification of arbitrary WordPress options in all versions up to, and including, 3.28.20. This is due to insufficient capability checks and input validation in the ActionOptions::run() save handler. This makes it possible for unauthenticated attackers to modify critical WordPress options such as users_can_register, default_role, and admin_email via submitting crafted form data to public frontend forms. | |
| 添加 | CVSS V3.1 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | |
| 添加 | CWE | CWE-862 | |
| 添加 | 参考 | https://plugins.trac.wordpress.org/changeset/3400432/acf-frontend-form-element | |
| 添加 | 参考 | https://www.wordfence.com/threat-intel/vulnerabilities/id/613f2035-3061-429b-b218-83805287e4f3?source=cve |
漏洞评分详情
CVSS 3.1
- 基础CVSS分数:9.8
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:无
- 范围:未更改
- 机密性影响:高
- 完整性影响:高
- 可用性影响:高