https://blog.qife122.com/tags/cve-2025-14156/ Recent content in CVE-2025-14156 on 办公AI智能小助手 Hugo zh-cn qife Sun, 28 Dec 2025 18:42:07 +0800 https://blog.qife122.com/p/wordpress-fox-lms%E6%8F%92%E4%BB%B6%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E6%9C%AA%E6%8E%88%E6%9D%83%E7%94%A8%E6%88%B7%E5%8F%AF%E5%88%9B%E5%BB%BA%E7%AE%A1%E7%90%86%E5%91%98%E8%B4%A6%E6%88%B7/ Sun, 28 Dec 2025 18:42:07 +0800 https://blog.qife122.com/p/wordpress-fox-lms%E6%8F%92%E4%BB%B6%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E6%9C%AA%E6%8E%88%E6%9D%83%E7%94%A8%E6%88%B7%E5%8F%AF%E5%88%9B%E5%BB%BA%E7%AE%A1%E7%90%86%E5%91%98%E8%B4%A6%E6%88%B7/ <h3 id="cve-2025-14156-ays-pro-fox-lms-wordpress插件中的cwe-20输入验证不当漏洞">CVE-2025-14156: ays-pro Fox LMS WordPress插件中的CWE-20输入验证不当漏洞</h3> <p><strong>严重性：</strong> 高危 <strong>类型：</strong> 漏洞 <strong>CVE编号：</strong> CVE-2025-14156</p> <p>Fox LMS – WordPress LMS 插件在所有版本（包括1.0.5.1及更早版本）中存在权限提升漏洞。此漏洞源于插件在通过<code>/fox-lms/v1/payments/create-order</code> REST API端点创建新用户时，未能正确验证<code>role</code>参数。这使得未经身份验证的攻击者能够创建具有任意角色（包括管理员）的新用户账户，从而导致网站被完全攻陷。</p>