https://blog.qife122.com/tags/cve-2025-13595/ Recent content in CVE-2025-13595 on 办公AI智能小助手 Hugo zh-cn qife Wed, 10 Dec 2025 01:30:32 +0800 https://blog.qife122.com/p/wordpress%E6%8F%92%E4%BB%B6cibeles-ai%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E6%9C%AA%E7%BB%8F%E8%BA%AB%E4%BB%BD%E9%AA%8C%E8%AF%81%E7%9A%84%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0/ Wed, 10 Dec 2025 01:30:32 +0800 https://blog.qife122.com/p/wordpress%E6%8F%92%E4%BB%B6cibeles-ai%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E6%9C%AA%E7%BB%8F%E8%BA%AB%E4%BB%BD%E9%AA%8C%E8%AF%81%E7%9A%84%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E4%B8%8A%E4%BC%A0/ <h3 id="cve-2025-13595---cibeles-ai--1108---未经身份验证的任意文件上传">CVE-2025-13595 - CIBELES AI &lt;= 1.10.8 - 未经身份验证的任意文件上传</h3> <p><strong>描述</strong></p> <p>CIBELES AI WordPress插件在1.10.8及之前的所有版本中，由于<code>actualizador_git.php</code>文件缺少权限检查，容易受到任意文件上传攻击。这使得未经身份验证的攻击者能够下载任意的GitHub仓库，并覆盖受影响站点服务器上的插件文件，这可能导致远程代码执行。</p>