WordPress插件Upload.am漏洞分析:权限缺失导致的任意选项泄露
CVE-2025-12630 - Upload.am File Hosting VPN < 1.0.1 - Contributor+ Arbitrary Option Disclosure
概述
漏洞时间线
描述
Upload.am WordPress插件在1.0.1之前的版本存在任意选项泄露漏洞,由于其AJAX请求处理程序缺少权限检查,导致贡献者等用户能够查看站点选项。
信息
发布日期:2025年12月2日 下午4:15
最后修改日期:2025年12月2日 下午5:16
远程可利用:是!
来源:contact@wpscan.com
受影响的产品
以下产品受到CVE-2025-12630漏洞的影响。即使cvefeed.io已知受影响产品的确切版本,以下表格中也不显示该信息。
尚未记录受影响产品
:
受影响供应商总数:0
|
产品数:0
CVSS评分
通用漏洞评分系统是一个用于评估软件和系统中漏洞严重性的标准化框架。我们收集并显示每个CVE来自不同来源的CVSS评分。
| 评分 | 版本 | 严重性 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 4.9 | CVSS 3.1 | 中危 | 1.2 | 3.6 | 134c704f-9b21-4f2e-91b3-4a467353bcc0 |
解决方案
将Upload.am WordPress插件更新到版本1.0.1或更高版本以解决授权问题。
- 更新Upload.am WordPress插件。
- 确认插件版本为1.0.1或更高。
参考、解决方案和工具
在这里,您将找到一系列外部链接,这些链接提供了与CVE-2025-12630相关的深入信息、实用解决方案和有价值的工具。
| URL | 资源 |
|---|---|
| https://wpscan.com/vulnerability/531537f1-5547-4b0f-9e11-3f8a0b2589f5/ |
CWE - 通用缺陷枚举
CVE标识特定的漏洞实例,而CWE则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-12630与以下CWE相关联:
通用攻击模式枚举和分类(CAPEC)
通用攻击模式枚举和分类(CAPEC)存储了攻击模式,这些模式描述了攻击者利用CVE-2025-12630弱点的常用属性和方法。
漏洞历史记录
以下表格列出了CVE-2025-12630漏洞随时间的变化。漏洞历史记录详细信息有助于了解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
新CVE接收
来自 contact@wpscan.com
日期 2025年12月2日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | Upload.am WordPress插件在1.0.1之前的版本存在任意选项泄露漏洞,由于其AJAX请求处理程序缺少权限检查,导致贡献者等用户能够查看站点选项。 | |
| 添加 | 参考 | https://wpscan.com/vulnerability/531537f1-5547-4b0f-9e11-3f8a0b2589f5/ |
CVE 修改
来自 134c704f-9b21-4f2e-91b3-4a467353bcc0
日期 2025年12月2日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | CVSS V3.1 | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
漏洞评分详情
CVSS 3.1
基础CVSS评分:4.9
| 攻击向量 | 攻击复杂度 | 所需权限 | 用户交互 | 作用域 | 机密性影响 | 完整性影响 | 可用性影响 |
|---|---|---|---|---|---|---|---|
| 网络 | 低 | 高 | 无 | 未更改 | 高 | 无 | 无 |
攻击向量
- 网络
- 邻接
- 本地
- 物理
攻击复杂度
- 低
- 高
所需权限
- 无
- 低
- 高
用户交互
- 无
- 必需
作用域
- 已更改
- 未更改
机密性影响
- 高
- 低
- 无
完整性影响
- 高
- 低
- 无
可用性影响
- 高
- 低
- 无
LQuBhaqoQIY4rPtQA72Cjg7QBqM4uFgolxdjEx1zlRjvzSLEp3JSrtJCOgahqK0N
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
浙公网安备 33010602011771号