WordPress Social Feed Gallery 插件未授权信息泄露漏洞分析

概述

CVE-2025-10637 是一个影响 WordPress Social Feed Gallery 插件的中等严重性漏洞，CVSS 评分为 5.3。该漏洞存在于 4.9.2 及以下版本中，由于插件未能正确验证用户权限，导致未认证攻击者能够访问敏感信息。

漏洞详情

漏洞描述

Social Feed Gallery 插件存在信息泄露漏洞，原因是插件未能正确验证用户执行操作的授权状态。这使得未认证的攻击者能够从网站所有者连接的任何 Instagram 账户中窃取个人资料和媒体数据。

技术细节

• 漏洞类型: 信息泄露

• 根本原因: 缺少授权验证（CWE-862）

• 影响范围: Social Feed Gallery 插件<=4.9.2 版本

• 攻击向量: 网络攻击

• 攻击复杂度: 低

• 所需权限: 无

• 用户交互: 不需要

时间线

• 发布日期: 2025 年 10 月 25 日

• 最后修改: 2025 年 10 月 25 日

• 远程利用: 是

• 信息来源: security@wordfence.com

影响评估

CVSS 评分详情

• 基础评分: 5.3（中等）

• 攻击向量: 网络

• 攻击复杂度: 低

• 所需权限: 无

• 用户交互: 不需要

• 影响范围: 未改变

• 机密性影响: 低

• 完整性影响: 无

• 可用性影响: 无

受影响产品

目前尚未记录具体的受影响产品版本信息。

解决方案

修复措施

1. 更新插件: 将 Social Feed Gallery 插件更新到已修复授权缺陷的版本

2. 验证授权检查: 确认插件的授权验证机制正常工作

3. 限制访问: 限制对连接账户的访问权限

4. 监控活动: 监控是否存在未经授权的数据访问行为

参考资源

相关链接

• https://plugins.trac.wordpress.org/browser/insta-gallery/tags/4.9.2/lib/api/rest/endpoints/frontend/class-user-profile.php#L19

• https://plugins.trac.wordpress.org/changeset/3381423/insta-gallery/trunk/lib/api/rest/endpoints/frontend/class-user-profile.php

• https://wordpress.org/plugins/insta-gallery/

• https://www.wordfence.com/threat-intel/vulnerabilities/id/ae0dd6b0-9028-456e-9843-d45754c01c53?source=cve

相关分类

• CWE: CWE-862 Missing Authorization

• CAPEC: CAPEC-665 Exploitation of Thunderbolt Protection Flaws

漏洞历史记录

变更记录

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享