https://blog.qife122.com/tags/cve-2025-14476/ Recent content in CVE-2025-14476 on 办公AI智能小助手 Hugo zh-cn qife Sun, 14 Dec 2025 10:43:00 +0800 https://blog.qife122.com/p/wordpress%E6%8F%92%E4%BB%B6doubly%E9%AB%98%E5%8D%B1%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E5%89%96%E6%9E%90cve-2025-14476%E6%8A%80%E6%9C%AF%E7%BB%86%E8%8A%82%E4%B8%8E%E7%BC%93%E8%A7%A3%E6%96%B9%E6%A1%88/ Sun, 14 Dec 2025 10:43:00 +0800 https://blog.qife122.com/p/wordpress%E6%8F%92%E4%BB%B6doubly%E9%AB%98%E5%8D%B1%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E5%89%96%E6%9E%90cve-2025-14476%E6%8A%80%E6%9C%AF%E7%BB%86%E8%8A%82%E4%B8%8E%E7%BC%93%E8%A7%A3%E6%96%B9%E6%A1%88/ <h3 id="cve-2025-14476-unitecms-doubly--cross-domain-copy-paste-for-wordpress插件中的cwe-502不可信数据反序列化漏洞">CVE-2025-14476： unitecms Doubly – Cross Domain Copy Paste for WordPress插件中的CWE-502不可信数据反序列化漏洞</h3> <p><strong>严重性：高</strong> <strong>类型：漏洞</strong></p> <p><strong>CVE-2025-14476</strong></p> <p>WordPress的Doubly – Cross Domain Copy Paste插件在所有版本（包括及以下1.0.46）中，由于对上传的ZIP压缩包内content.txt文件中的不可信输入进行反序列化操作，存在PHP对象注入漏洞。这使得拥有订阅者（Subscriber）及以上级别访问权限的认证攻击者能够注入PHP对象。额外存在的POP链允许攻击者根据环境中可用的代码片段（gadgets）执行任意代码、删除文件、检索敏感数据或执行其他操作。此漏洞仅在管理员明确启用了订阅者上传权限时，才可被订阅者利用。</p>