CVE-2025-15510 — 神龙十问 AI 深度分析摘要
CVSS 5.3 · Medium
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **未授权敏感信息泄露漏洞**:NEX-Forms插件因构造函数无权限检查,攻击者可直接导出表单配置,暴露邮箱、PayPal密钥等敏感数据。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE-250(缺少权限检查)**:NF5_Export_Forms类构造函数未验证用户权限,允许未认证访问。
Q3影响谁?(版本/组件)
💻 **影响所有版本**:包括9.1.8及更早版本,所有使用NEX-Forms插件的WordPress站点。
Q4黑客能干啥?(权限/数据)
🔐 **无需认证**:攻击者可枚举nex_forms_Id参数,导出表单配置,获取第三方密钥、API凭据等。
Q5利用门槛高吗?(认证/配置)
⚠️ **门槛极低**:无需登录、无需特殊配置,仅需访问特定URL参数即可触发。
Q7怎么自查?(特征/扫描)
🔍 **自查方法**:检查是否安装NEX-Forms插件,版本≤9.1.8;扫描网站是否存在`/wp-admin/admin-ajax.php?action=nex_forms_export_form`接口。
Q9没补丁咋办?(临时规避)
🛡️ **临时规避**:禁用插件、限制admin-ajax.php访问、添加防火墙规则拦截`nex_forms_export_form`请求。