https://blog.qife122.com/tags/cve-2025-13094/ Recent content in CVE-2025-13094 on 办公AI智能小助手 Hugo zh-cn qife Sun, 14 Dec 2025 05:49:34 +0800 https://blog.qife122.com/p/wordpress%E6%8F%92%E4%BB%B6wp3d-model-import-viewer%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E4%B8%8D%E5%8F%97%E9%99%90%E5%88%B6%E7%9A%84%E5%8D%B1%E9%99%A9%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0/ Sun, 14 Dec 2025 05:49:34 +0800 https://blog.qife122.com/p/wordpress%E6%8F%92%E4%BB%B6wp3d-model-import-viewer%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E4%B8%8D%E5%8F%97%E9%99%90%E5%88%B6%E7%9A%84%E5%8D%B1%E9%99%A9%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0/ <h3 id="cve-2025-13094-cwe-434-在wp3d-wp3d-model-import-viewer中不受限制的危险类型文件上传">CVE-2025-13094: CWE-434 在wp3d WP3D Model Import Viewer中不受限制的危险类型文件上传</h3> <p><strong>严重性</strong>: 高 <strong>类型</strong>: 漏洞</p> <h4 id="cve-2025-13094">CVE-2025-13094</h4> <p>WordPress的WP3D Model Import Viewer插件由于在<code>handle_import_file()</code>函数中缺少文件类型验证，在1.0.7及之前的所有版本中存在任意文件上传漏洞。这使得经过身份验证的攻击者（具有作者级别及更高权限）能够在受影响的网站服务器上上传任意文件，这可能导致远程代码执行。</p>