https://blog.qife122.com/tags/cve-2025-13092/ Recent content in CVE-2025-13092 on 办公AI智能小助手 Hugo zh-cn qife Sat, 10 Jan 2026 06:46:35 +0800 https://blog.qife122.com/p/wordpress-devs-crm-%E6%8F%92%E4%BB%B6%E7%BC%BA%E5%A4%B1%E6%8E%88%E6%9D%83%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E6%94%BB%E5%87%BB%E8%80%85%E5%8F%AF%E7%AA%83%E5%8F%96%E5%AF%86%E7%A0%81%E5%93%88%E5%B8%8C/ Sat, 10 Jan 2026 06:46:35 +0800 https://blog.qife122.com/p/wordpress-devs-crm-%E6%8F%92%E4%BB%B6%E7%BC%BA%E5%A4%B1%E6%8E%88%E6%9D%83%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E6%94%BB%E5%87%BB%E8%80%85%E5%8F%AF%E7%AA%83%E5%8F%96%E5%AF%86%E7%A0%81%E5%93%88%E5%B8%8C/ <h1 id="cve-2025-13092-ajitdas-devs-crm-插件中的-cwe-862-缺失授权漏洞">CVE-2025-13092: ajitdas Devs CRM 插件中的 CWE-862 缺失授权漏洞</h1> <p><strong>严重性：中</strong> <strong>类型：漏洞</strong></p> <h2 id="cve-2025-13092">CVE-2025-13092</h2> <p>WordPress 插件 &ldquo;Devs CRM – Manage tasks, attendance and teams all together&rdquo; 因在其所有版本（包括 1.1.8 及之前版本）中，对 <code>/wp-json/devs-crm/v1/attendances</code> REST API 端点缺少能力检查，导致存在未经授权访问数据的漏洞。这使得未经身份验证的攻击者能够检索私人用户数据，包括密码哈希值。</p> https://blog.qife122.com/p/wordpress-%E6%8F%92%E4%BB%B6%E6%9D%83%E9%99%90%E7%BC%BA%E5%A4%B1%E6%BC%8F%E6%B4%9E%E6%9B%9D%E5%85%89%E6%9C%AA%E6%8E%88%E6%9D%83%E8%AE%BF%E9%97%AE%E5%8F%AF%E7%AA%83%E5%8F%96%E5%AF%86%E7%A0%81%E5%93%88%E5%B8%8C/ Sun, 14 Dec 2025 21:24:59 +0800 https://blog.qife122.com/p/wordpress-%E6%8F%92%E4%BB%B6%E6%9D%83%E9%99%90%E7%BC%BA%E5%A4%B1%E6%BC%8F%E6%B4%9E%E6%9B%9D%E5%85%89%E6%9C%AA%E6%8E%88%E6%9D%83%E8%AE%BF%E9%97%AE%E5%8F%AF%E7%AA%83%E5%8F%96%E5%AF%86%E7%A0%81%E5%93%88%E5%B8%8C/ <h2 id="cve-2025-13092ajitdas-devs-crm-插件中的-cwe-862-缺失授权漏洞">CVE-2025-13092：ajitdas Devs CRM 插件中的 CWE-862 缺失授权漏洞</h2> <p><strong>严重性：中等</strong> <strong>类型：漏洞</strong> <strong>CVE：CVE-2025-13092</strong></p> <p>WordPress 插件“Devs CRM – Manage tasks, attendance and teams all together”存在未授权数据访问漏洞。该漏洞源于在 <code>/wp-json/devs-crm/v1/attendances</code> REST API 端点上缺少能力检查，影响所有版本直至（包括）1.1.8。这使得未经身份验证的攻击者能够检索私人用户数据，包括密码哈希。</p>