概述

CVE-2025-49907是一个在WordPress MDTF插件中发现的权限控制漏洞，影响版本1.3.3.9及之前的所有版本。

漏洞描述

RealMag777开发的MDTF WordPress插件存在缺失授权漏洞，该漏洞允许攻击者利用错误配置的访问控制安全级别。此问题影响MDTF插件从未知版本到1.3.3.9版本。

技术细节

CVSS评分

• 评分: 8.2（高危）
• 版本: CVSS 3.1
• 攻击向量: 网络
• 攻击复杂度: 低
• 所需权限: 无
• 用户交互: 不需要
• 影响范围: 未改变
• 机密性影响: 高
• 完整性影响: 低
• 可用性影响: 无

漏洞时间线

• 发布日期: 2025年10月22日 15:15
• 最后修改: 2025年10月22日 21:15
• 远程利用: 是
• 来源: audit@patchstack.com

受影响产品

目前尚未记录具体的受影响产品信息。

解决方案

1. 将RealMag777 MDTF插件更新到1.3.3.9之后版本以修复授权问题
2. 验证访问控制配置是否正确设置
3. 查看插件更新日志中的安全修复内容

相关资源

• 漏洞详情: https://vdp.patchstack.com/database/Wordpress/Plugin/wp-meta-data-filter-and-taxonomy-filter/vulnerability/wordpress-mdtf-plugin-1-3-3-9-broken-access-control-vulnerability

CWE分类

• CWE-862: 缺失授权

CAPEC攻击模式

• CAPEC-665: 利用Thunderbolt保护缺陷

漏洞历史记录

2025年10月22日 - 由134c704f-9b21-4f2e-91b3-4a467353bcc0添加CVSS V3.1评分 2025年10月22日 - 由audit@patchstack.com接收新CVE，添加描述、CWE和参考链接