https://blog.qife122.com/tags/cve-2025-13334/ Recent content in CVE-2025-13334 on 办公AI智能小助手 Hugo zh-cn qife Sun, 14 Dec 2025 14:13:48 +0800 https://blog.qife122.com/p/wordpress%E6%8F%92%E4%BB%B6%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E8%A7%A3%E6%9E%90blaze-demo-importer-%E6%9C%AA%E6%8E%88%E6%9D%83%E8%AE%BF%E9%97%AE%E5%8F%AF%E5%AF%BC%E8%87%B4%E6%95%B0%E6%8D%AE%E5%BA%93%E9%87%8D%E7%BD%AE/ Sun, 14 Dec 2025 14:13:48 +0800 https://blog.qife122.com/p/wordpress%E6%8F%92%E4%BB%B6%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E8%A7%A3%E6%9E%90blaze-demo-importer-%E6%9C%AA%E6%8E%88%E6%9D%83%E8%AE%BF%E9%97%AE%E5%8F%AF%E5%AF%BC%E8%87%B4%E6%95%B0%E6%8D%AE%E5%BA%93%E9%87%8D%E7%BD%AE/ <h2 id="cve-2025-13334-cwe-862-blazethemes-blaze-demo-importer插件中的授权缺失漏洞">CVE-2025-13334: CWE-862 Blazethemes Blaze Demo Importer插件中的授权缺失漏洞</h2> <p><strong>威胁级别：高</strong> <strong>类型：漏洞</strong> <strong>CVE编号：CVE-2025-13334</strong></p> <h3 id="概述">概述</h3> <p>WordPress的Blaze Demo Importer插件存在未授权的数据库重置和文件删除漏洞。此漏洞源于插件在所有至1.0.13（含）版本中的<code>blaze_demo_importer_install_demo</code>函数缺少能力检查。这使得拥有订阅者级别及以上访问权限的经过身份验证的攻击者能够通过清空所有数据表（options、usermeta和users表除外）来重置数据库，并删除所有侧边栏小工具、主题修改以及uploads文件夹中的内容。</p>