一、 漏洞 CVE-2025-0661 基础信息
漏洞标题
DethemeKit For Elementor <= 2.1.8 - 经认证用户(贡献者+)泄露受保护的文章
来源:AIGC 神龙大模型
漏洞描述信息
WordPress插件DethemeKit For Elementor在所有版本中(包括2.36版本)存在信息泄露漏洞。该漏洞是由于duplicate_post()函数中对可复制文章的限制不足导致的。这使得具有Contributor级别及以上访问权限的经过身份验证的攻击者可以通过复制文章的方式来获取其不应访问的受密码保护、私有、草稿或计划发布的文章数据。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
信息暴露
来源:AIGC 神龙大模型
漏洞标题
DethemeKit For Elementor <= 2.1.8 - Authenticated (Contributor+) Protected Post Disclosure
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The DethemeKit For Elementor plugin for WordPress is vulnerable to Information Exposure in all versions up to, and including, 2.36 via the duplicate_post() function due to insufficient restrictions on which posts can be duplicated. This makes it possible for authenticated attackers, with Contributor-level access and above, to extract data from password protected, private, draft, or scheduled posts that they should not have access to by duplicating the post.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
通过用户控制密钥绕过授权机制
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-0661 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-0661 的情报信息
-
标题: DethemeKit For Elementor <= 2.1.8 - Authenticated (Contributor+) Protected Post Disclosure -- 🔗来源链接
标签:
-
标题: Changeset 3236114 for dethemekit-for-elementor/trunk/admin/includes/dep/admin-helper.php – WordPress Plugin Repository -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2025-0661