概述
CVE-2025-10637是一个影响WordPress Social Feed Gallery插件的中等严重性漏洞,CVSS评分为5.3。该漏洞存在于4.9.2及以下版本中,由于插件未能正确验证用户权限,导致未认证攻击者能够访问敏感信息。
漏洞详情
漏洞描述
Social Feed Gallery插件存在信息泄露漏洞,原因是插件未能正确验证用户执行操作的授权状态。这使得未认证的攻击者能够从网站所有者连接的任何Instagram账户中窃取个人资料和媒体数据。
技术细节
- 漏洞类型: 信息泄露
- 根本原因: 缺少授权验证(CWE-862)
- 影响范围: Social Feed Gallery插件<=4.9.2版本
- 攻击向量: 网络攻击
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 不需要
时间线
- 发布日期: 2025年10月25日
- 最后修改: 2025年10月25日
- 远程利用: 是
- 信息来源: security@wordfence.com
影响评估
CVSS评分详情
- 基础评分: 5.3(中等)
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 不需要
- 影响范围: 未改变
- 机密性影响: 低
- 完整性影响: 无
- 可用性影响: 无
受影响产品
目前尚未记录具体的受影响产品版本信息。
解决方案
修复措施
- 更新插件: 将Social Feed Gallery插件更新到已修复授权缺陷的版本
- 验证授权检查: 确认插件的授权验证机制正常工作
- 限制访问: 限制对连接账户的访问权限
- 监控活动: 监控是否存在未经授权的数据访问行为
参考资源
相关链接
- plugins.trac.wordpress.org/browser/ins…
- plugins.trac.wordpress.org/changeset/3…
- wordpress.org/plugins/ins…
- www.wordfence.com/threat-inte…
相关分类
- CWE: CWE-862 Missing Authorization
- CAPEC: CAPEC-665 Exploitation of Thunderbolt Protection Flaws
漏洞历史记录
变更记录
| 日期 | 操作类型 | 变更内容 |
|---|---|---|
| 2025年10月25日 | 新增漏洞描述 | 添加漏洞详细信息 |
| 2025年10月25日 | 新增CVSS评分 | 添加CVSS 3.1评分信息 |
| 2025年10月25日 | 新增CWE分类 | 关联CWE-862弱点类型 |
| 2025年10月25日 | 新增参考链接 | 添加相关技术参考链接 |
