https://blog.qife122.com/tags/cve-2025-14293/ Recent content in CVE-2025-14293 on 办公AI智能小助手 Hugo zh-cn qife Sun, 14 Dec 2025 05:14:11 +0800 https://blog.qife122.com/p/wordpress%E6%8B%9B%E8%81%98%E6%8F%92%E4%BB%B6wp-job-portal%E6%9B%9D%E5%87%BA%E8%B7%AF%E5%BE%84%E9%81%8D%E5%8E%86%E6%BC%8F%E6%B4%9E%E6%94%BB%E5%87%BB%E8%80%85%E8%83%BD%E4%BB%A5%E8%AE%A2%E9%98%85%E8%80%85%E8%BA%AB%E4%BB%BD%E7%AA%83%E5%8F%96%E6%9C%8D%E5%8A%A1%E5%99%A8%E6%96%87%E4%BB%B6/ Sun, 14 Dec 2025 05:14:11 +0800 https://blog.qife122.com/p/wordpress%E6%8B%9B%E8%81%98%E6%8F%92%E4%BB%B6wp-job-portal%E6%9B%9D%E5%87%BA%E8%B7%AF%E5%BE%84%E9%81%8D%E5%8E%86%E6%BC%8F%E6%B4%9E%E6%94%BB%E5%87%BB%E8%80%85%E8%83%BD%E4%BB%A5%E8%AE%A2%E9%98%85%E8%80%85%E8%BA%AB%E4%BB%BD%E7%AA%83%E5%8F%96%E6%9C%8D%E5%8A%A1%E5%99%A8%E6%96%87%E4%BB%B6/ <h1 id="cve-2025-14293wp-job-portal插件路径遍历漏洞技术分析">CVE-2025-14293：WP Job Portal插件路径遍历漏洞技术分析</h1> <h2 id="漏洞概述">漏洞概述</h2> <h3 id="基本信息">基本信息</h3> <ul> <li><strong>漏洞标识</strong>：CVE-2025-14293</li> <li><strong>漏洞类型</strong>：CWE-22 路径遍历（Path Traversal）</li> <li><strong>影响组件</strong>：WordPress插件 WP Job Portal – AI-Powered Recruitment System for Company or Job Board website</li> <li><strong>影响版本</strong>：2.4.0及之前的所有版本[citation:1][citation:2]</li> <li><strong>严重等级</strong>：<strong>中等</strong>（CVSS v3.1 评分 6.5）[citation:1]</li> <li><strong>发布时间</strong>：2025年12月11日[citation:1]</li> </ul> <h3 id="核心描述">核心描述</h3> <p>该漏洞存在于插件 <code>downloadCustomUploadedFile</code> 函数中[citation:1]。该函数未能对用户输入的文件路径进行充分的验证和限制，导致经过身份验证的攻击者，即使仅拥有最低权限的<strong>订阅者</strong>角色，也能构造恶意请求，读取服务器文件系统上的任意文件[citation:1][citation:2]。这是一种<strong>任意文件读取</strong>漏洞，可直接导致敏感信息泄露[citation:1]。</p>