https://blog.qife122.com/tags/cve-2025-13390/ Recent content in CVE-2025-13390 on 办公AI智能小助手 Hugo zh-cn qife Wed, 10 Dec 2025 07:29:34 +0800 https://blog.qife122.com/p/wordpress%E6%8F%92%E4%BB%B6%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9Ecve-2025-13390%E8%AE%A4%E8%AF%81%E7%BB%95%E8%BF%87%E5%AF%BC%E8%87%B4%E8%B4%A6%E6%88%B7%E5%8A%AB%E6%8C%81%E4%B8%8E%E6%9D%83%E9%99%90%E6%8F%90%E5%8D%87/ Wed, 10 Dec 2025 07:29:34 +0800 https://blog.qife122.com/p/wordpress%E6%8F%92%E4%BB%B6%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9Ecve-2025-13390%E8%AE%A4%E8%AF%81%E7%BB%95%E8%BF%87%E5%AF%BC%E8%87%B4%E8%B4%A6%E6%88%B7%E5%8A%AB%E6%8C%81%E4%B8%8E%E6%9D%83%E9%99%90%E6%8F%90%E5%8D%87/ <h1 id="cve-2025-13390---wp-directory-kit--144---通过账户劫持实现认证绕过到权限提升">CVE-2025-13390 - WP Directory Kit &lt;= 1.4.4 - 通过账户劫持实现认证绕过到权限提升</h1> <h2 id="概述">概述</h2> <p>WordPress的WP Directory Kit插件在所有版本（包括1.4.4及之前）中存在认证绕过漏洞。此漏洞源于&quot;wdk_generate_auto_login_link&quot;函数中身份验证算法的错误实现，具体原因是该功能使用了加密强度弱的令牌生成机制。这使得未经认证的攻击者能够通过自动登录端点，使用可预测的令牌获取管理员访问权限，实现完全站点接管。</p>