https://blog.qife122.com/tags/cve-2025-14160/ Recent content in CVE-2025-14160 on 办公AI智能小助手 Hugo zh-cn qife Mon, 29 Dec 2025 08:44:31 +0800 https://blog.qife122.com/p/wordpress%E6%8F%92%E4%BB%B6csrf%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90cve-2025-14160%E6%8A%80%E6%9C%AF%E7%BB%86%E8%8A%82%E4%B8%8E%E7%BC%93%E8%A7%A3%E6%96%B9%E6%A1%88/ Mon, 29 Dec 2025 08:44:31 +0800 https://blog.qife122.com/p/wordpress%E6%8F%92%E4%BB%B6csrf%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90cve-2025-14160%E6%8A%80%E6%9C%AF%E7%BB%86%E8%8A%82%E4%B8%8E%E7%BC%93%E8%A7%A3%E6%96%B9%E6%A1%88/ <h1 id="cve-2025-14160-cwe-352-跨站请求伪造csrf漏洞分析---justdave-upcoming-for-calendly-插件">CVE-2025-14160: CWE-352 跨站请求伪造（CSRF）漏洞分析 - justdave “Upcoming for Calendly” 插件</h1> <p><strong>严重性： 中等</strong> <strong>类型： 漏洞</strong> <strong>CVE： CVE-2025-14160</strong></p> <p>WordPress的“Upcoming for Calendly”插件在所有版本（包括1.2.4及之前版本）中存在跨站请求伪造（CSRF）漏洞。这是由于设置更新功能缺少随机数验证所致。这使得未经认证的攻击者能够通过伪造的请求更新插件的Calendly API密钥，前提是他们能诱骗网站管理员执行诸如点击链接等操作。</p>