授权缺失 on 办公AI智能小助手 https://blog.qife122.com/tags/%E6%8E%88%E6%9D%83%E7%BC%BA%E5%A4%B1/ Recent content in 授权缺失 on 办公AI智能小助手 Hugo zh-cn qife Sat, 10 Jan 2026 21:35:33 +0800 WordPress插件漏洞预警:Premmerce愿望清单插件存在授权缺失风险 https://blog.qife122.com/p/wordpress%E6%8F%92%E4%BB%B6%E6%BC%8F%E6%B4%9E%E9%A2%84%E8%AD%A6premmerce%E6%84%BF%E6%9C%9B%E6%B8%85%E5%8D%95%E6%8F%92%E4%BB%B6%E5%AD%98%E5%9C%A8%E6%8E%88%E6%9D%83%E7%BC%BA%E5%A4%B1%E9%A3%8E%E9%99%A9/ Sat, 10 Jan 2026 21:35:33 +0800 https://blog.qife122.com/p/wordpress%E6%8F%92%E4%BB%B6%E6%BC%8F%E6%B4%9E%E9%A2%84%E8%AD%A6premmerce%E6%84%BF%E6%9C%9B%E6%B8%85%E5%8D%95%E6%8F%92%E4%BB%B6%E5%AD%98%E5%9C%A8%E6%8E%88%E6%9D%83%E7%BC%BA%E5%A4%B1%E9%A3%8E%E9%99%A9/ <h2 id="cve-2025-13440-woocommerce愿望清单插件中的授权缺失漏洞">CVE-2025-13440: WooCommerce愿望清单插件中的授权缺失漏洞</h2> <p><strong>严重性:</strong> 中 <strong>类型:</strong> 漏洞</p> <h3 id="cve-2025-13440">CVE-2025-13440</h3> <p>WordPress的Premmerce Wishlist for WooCommerce插件在所有至1.1.10及以下的版本中,都存在授权缺失漏洞。这是由于<code>deleteWishlist()</code>函数缺少权限检查导致的。这使得拥有订阅者及以上权限的认证攻击者能够删除任意愿望清单。</p> WordPress插件CVE-2025-13741:授权缺失导致用户邮箱泄露漏洞分析 https://blog.qife122.com/p/wordpress%E6%8F%92%E4%BB%B6cve-2025-13741%E6%8E%88%E6%9D%83%E7%BC%BA%E5%A4%B1%E5%AF%BC%E8%87%B4%E7%94%A8%E6%88%B7%E9%82%AE%E7%AE%B1%E6%B3%84%E9%9C%B2%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Fri, 09 Jan 2026 14:41:26 +0800 https://blog.qife122.com/p/wordpress%E6%8F%92%E4%BB%B6cve-2025-13741%E6%8E%88%E6%9D%83%E7%BC%BA%E5%A4%B1%E5%AF%BC%E8%87%B4%E7%94%A8%E6%88%B7%E9%82%AE%E7%AE%B1%E6%B3%84%E9%9C%B2%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h1 id="cve-2025-13741-cwe-862-在publishpress-future插件中缺失授权">CVE-2025-13741: CWE-862 在PublishPress Future插件中缺失授权</h1> <p><strong>严重性</strong>: 中危 <strong>类型</strong>: 漏洞</p> <h2 id="cve-2025-13741">CVE-2025-13741</h2> <p>WordPress插件&quot;Schedule Post Changes With PublishPress Future: Unpublish, Delete, Change Status, Trash, Change Categories&quot;在所有版本(包括4.9.2及之前版本)中存在因<code>getAuthors</code>函数缺少能力检查而导致数据被未授权访问的漏洞。这使得拥有贡献者级别及以上权限的已验证攻击者能够检索所有具有<code>edit_posts</code>能力用户的电子邮件。</p> CVE-2025-66167:merkulove Lottier插件中的授权缺失漏洞分析 https://blog.qife122.com/p/cve-2025-66167merkulove-lottier%E6%8F%92%E4%BB%B6%E4%B8%AD%E7%9A%84%E6%8E%88%E6%9D%83%E7%BC%BA%E5%A4%B1%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Sat, 03 Jan 2026 21:36:16 +0800 https://blog.qife122.com/p/cve-2025-66167merkulove-lottier%E6%8F%92%E4%BB%B6%E4%B8%AD%E7%9A%84%E6%8E%88%E6%9D%83%E7%BC%BA%E5%A4%B1%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h1 id="cve-2025-66167merkulove-lottier插件中的授权缺失漏洞">CVE-2025-66167:merkulove Lottier插件中的授权缺失漏洞</h1> <p><strong>严重性</strong>: 未知 <strong>类型</strong>: 漏洞</p> <p><strong>CVE编号</strong>: CVE-2025-66167</p> <p>merkulove公司的Lottier for Gutenberg WordPress插件存在授权缺失漏洞,允许攻击者利用配置不当的访问控制安全机制。</p> WordPress FileBird 插件 CVE-2025-12900 授权缺失漏洞分析 https://blog.qife122.com/p/wordpress-filebird-%E6%8F%92%E4%BB%B6-cve-2025-12900-%E6%8E%88%E6%9D%83%E7%BC%BA%E5%A4%B1%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Sat, 03 Jan 2026 13:35:27 +0800 https://blog.qife122.com/p/wordpress-filebird-%E6%8F%92%E4%BB%B6-cve-2025-12900-%E6%8E%88%E6%9D%83%E7%BC%BA%E5%A4%B1%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h1 id="cve-2025-12900filebird-wordpress-插件中的-cwe-862-授权缺失漏洞">CVE-2025-12900:FileBird WordPress 插件中的 CWE-862 授权缺失漏洞</h1> <p><strong>严重性:</strong> 中等 <strong>类型:</strong> 漏洞</p> <h2 id="cve-2025-12900">CVE-2025-12900</h2> <p>WordPress 的 FileBird – WordPress Media Library Folders &amp; File Manager 插件在 6.5.1 及之前的所有版本中,通过 <code>ConvertController::insertToNewTable</code> 函数,由于对用户可控密钥缺乏验证,存在授权缺失漏洞。这使得经过身份验证的攻击者(具有作者级别及以上权限)能够在特定条件下注入全局文件夹,并将任意媒体附件重新分配到这些文件夹。</p> CVE-2025-15070:Gmission Web Fax中的敏感信息暴露漏洞详解 https://blog.qife122.com/p/cve-2025-15070gmission-web-fax%E4%B8%AD%E7%9A%84%E6%95%8F%E6%84%9F%E4%BF%A1%E6%81%AF%E6%9A%B4%E9%9C%B2%E6%BC%8F%E6%B4%9E%E8%AF%A6%E8%A7%A3/ Mon, 29 Dec 2025 16:51:52 +0800 https://blog.qife122.com/p/cve-2025-15070gmission-web-fax%E4%B8%AD%E7%9A%84%E6%95%8F%E6%84%9F%E4%BF%A1%E6%81%AF%E6%9A%B4%E9%9C%B2%E6%BC%8F%E6%B4%9E%E8%AF%A6%E8%A7%A3/ <h1 id="cve-2025-15070-cwe-200-授权缺失导致的敏感信息暴露漏洞">CVE-2025-15070: CWE-200 授权缺失导致的敏感信息暴露漏洞</h1> <h2 id="严重性中等">严重性:中等</h2> <p><strong>类型:</strong> 漏洞 <strong>CVE编号:</strong> CVE-2025-15070</p> <h2 id="漏洞描述">漏洞描述</h2> <p>Gmission Web Fax软件中存在一个“向未经授权的参与者暴露敏感信息”及“授权缺失”漏洞,该漏洞允许攻击者进行身份验证滥用。 此问题影响Web Fax的版本范围为:从3.0版本开始,到4.0版本之前。</p> CVE-2025-68087:Elementor Modalier插件中的授权缺失漏洞详解 https://blog.qife122.com/p/cve-2025-68087elementor-modalier%E6%8F%92%E4%BB%B6%E4%B8%AD%E7%9A%84%E6%8E%88%E6%9D%83%E7%BC%BA%E5%A4%B1%E6%BC%8F%E6%B4%9E%E8%AF%A6%E8%A7%A3/ Mon, 29 Dec 2025 04:59:37 +0800 https://blog.qife122.com/p/cve-2025-68087elementor-modalier%E6%8F%92%E4%BB%B6%E4%B8%AD%E7%9A%84%E6%8E%88%E6%9D%83%E7%BC%BA%E5%A4%B1%E6%BC%8F%E6%B4%9E%E8%AF%A6%E8%A7%A3/ <h1 id="cve-2025-68087-merkulove-modalier-for-elementor-中的授权缺失漏洞">CVE-2025-68087: merkulove Modalier for Elementor 中的授权缺失漏洞</h1> <p><strong>严重性:</strong> 漏洞 <strong>类型:</strong> 漏洞 <strong>CVE编号:</strong> CVE-2025-68087</p> <h2 id="漏洞描述">漏洞描述</h2> <p>merkulove 开发的 Modalier for Elementor (<code>modalier-elementor</code>) WordPress 插件中存在<strong>授权缺失</strong>漏洞。该漏洞允许攻击者<strong>利用配置不当的访问控制安全级别</strong>。</p> CVE-2025-67976:Bob Watu Quiz插件授权缺失漏洞分析 https://blog.qife122.com/p/cve-2025-67976bob-watu-quiz%E6%8F%92%E4%BB%B6%E6%8E%88%E6%9D%83%E7%BC%BA%E5%A4%B1%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Mon, 29 Dec 2025 01:21:29 +0800 https://blog.qife122.com/p/cve-2025-67976bob-watu-quiz%E6%8F%92%E4%BB%B6%E6%8E%88%E6%9D%83%E7%BC%BA%E5%A4%B1%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h3 id="cve-2025-67976-bob-watu-quiz中的授权缺失漏洞">CVE-2025-67976: Bob Watu Quiz中的授权缺失漏洞</h3> <p><strong>严重性:</strong> 未知 <strong>类型:</strong> 漏洞</p> <p><strong>CVE ID:</strong> CVE-2025-67976</p> <p>Bob Watu Quiz插件中存在授权缺失漏洞,允许攻击者利用错误配置的访问控制安全级别。 此问题影响Watu Quiz插件:从n/a版本到&lt;= 3.4.5版本。</p> CVE-2025-66163:Merkulove Masker for Elementor插件中的授权缺失漏洞 https://blog.qife122.com/p/cve-2025-66163merkulove-masker-for-elementor%E6%8F%92%E4%BB%B6%E4%B8%AD%E7%9A%84%E6%8E%88%E6%9D%83%E7%BC%BA%E5%A4%B1%E6%BC%8F%E6%B4%9E/ Sun, 28 Dec 2025 15:34:45 +0800 https://blog.qife122.com/p/cve-2025-66163merkulove-masker-for-elementor%E6%8F%92%E4%BB%B6%E4%B8%AD%E7%9A%84%E6%8E%88%E6%9D%83%E7%BC%BA%E5%A4%B1%E6%BC%8F%E6%B4%9E/ <h1 id="cve-2025-66163-missing-authorization-in-merkulove-masker-for-elementor">CVE-2025-66163: Missing Authorization in merkulove Masker for Elementor</h1> <p><strong>严重性:</strong> 未知 <strong>类型:</strong> 漏洞 <strong>CVE编号:</strong> CVE-2025-66163</p> <p>Merkulove 的 Masker for Elementor (<code>masker-elementor</code>) 插件中存在一个<strong>授权缺失</strong>漏洞,该漏洞允许攻击者<strong>利用配置错误的访问控制安全级别</strong>。</p> <p>此问题影响 Masker for Elementor 插件版本:从 n/a 到 &lt;= 1.1.4。</p>