概述
CVE-2025-12891是一个影响WordPress Survey Maker插件的中等严重性漏洞,CVSS评分为5.3分。该漏洞存在于插件5.1.9.4及以下版本中。
漏洞描述
Survey Maker插件由于在’ays_survey_show_results’ AJAX端点上缺少权限检查,导致存在未授权数据访问漏洞。这使得未经身份验证的攻击者能够查看所有调查问卷提交数据。
技术细节
受影响版本
- Survey Maker插件 <= 5.1.9.4
漏洞类型
- CWE-862:缺少授权
攻击向量
- 攻击途径:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:不需要
漏洞评分
CVSS 3.1评分
- 基础分数:5.3(中等)
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:不需要
- 影响范围:未改变
- 机密性影响:低
- 完整性影响:无
- 可用性影响:无
解决方案
修复措施
- 将Survey Maker插件更新到已修复此权限检查问题的版本
- 验证插件的访问控制机制
参考链接
时间线
- 发布日期:2025年11月13日
- 最后修改日期:2025年11月13日
- 远程利用:是
- 信息来源:security@wordfence.com
关联信息
相关CWE
- CWE-862:缺少授权
相关CAPEC
- CAPEC-665:利用Thunderbolt保护缺陷
该漏洞目前尚未在GitHub上发现公开的概念验证利用代码,相关新闻报道也暂未提及此漏洞。