https://blog.qife122.com/tags/cve-2025-12968/ Recent content in CVE-2025-12968 on 办公AI智能小助手 Hugo zh-cn qife Sat, 13 Dec 2025 15:47:38 +0800 https://blog.qife122.com/p/wordpress-infility-global%E6%8F%92%E4%BB%B6%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E5%89%96%E6%9E%90cve-2025-12968%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E4%B8%8E%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E9%A3%8E%E9%99%A9/ Sat, 13 Dec 2025 15:47:38 +0800 https://blog.qife122.com/p/wordpress-infility-global%E6%8F%92%E4%BB%B6%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E5%89%96%E6%9E%90cve-2025-12968%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0%E4%B8%8E%E8%BF%9C%E7%A8%8B%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E9%A3%8E%E9%99%A9/ <h1 id="cve-2025-12968infility-global插件中cwe-434不受限制的危险类型文件上传漏洞">CVE-2025-12968：Infility Global插件中CWE-434不受限制的危险类型文件上传漏洞</h1> <p><strong>严重性：高</strong> <strong>类型：漏洞</strong></p> <h2 id="cve-2025-12968">CVE-2025-12968</h2> <p>WordPress的Infility Global插件，在2.14.23及之前的所有版本中，由于缺少文件类型验证和权限检查，存在任意文件上传漏洞。这是因为<code>infility_import_file</code>类中的<code>upload_file</code>函数仅验证MIME类型（该类型容易被伪造），并且<code>import_data</code>函数缺少权限检查。这使得拥有订阅者级别及以上访问权限的认证攻击者有可能在受影响站点的服务器上上传任意文件，这可能导致远程代码执行。</p>