一、 漏洞 CVE-2025-10694 基础信息
漏洞信息
                                        # 用户反馈插件 <=1.8.0 信息泄露漏洞

## 概述

User Feedback 插件是 WordPress 上用于创建交互式反馈表单、用户调查和投票的一个插件。在所有版本(包括 1.8.0)中,`maybe_load_onboarding_wizard` 函数缺少权限检查,导致存在未经授权的数据访问漏洞。

## 影响版本

所有版本 1.8.0 及以下版本均受影响。

## 细节

插件中的 `maybe_load_onboarding_wizard` 函数未正确验证用户权限,使得攻击者无需身份验证即可访问该插件的引导配置页面(onboarding wizard page)。

## 影响

攻击者可利用此漏洞访问配置信息,包括管理员的电子邮件地址,从而可能为后续攻击提供敏感信息。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
User Feedback – Create Interactive Feedback Form, User Surveys, and Polls in Seconds <= 1.8.0 - Missing Authorization to Information Disclosure
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The User Feedback – Create Interactive Feedback Form, User Surveys, and Polls in Seconds plugin for WordPress is vulnerable to unauthorized access of data due to a missing capability check on the `maybe_load_onboarding_wizard` function in all versions up to, and including, 1.8.0. This makes it possible for unauthenticated attackers to access the onboarding wizard page and view configuration information including the administrator email address.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制缺失
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-10694 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-10694 的情报信息

  • 标题: User Feedback – Create Interactive Feedback Form, User Surveys, and Polls in Seconds <= 1.8.0 - Missing Authorization to Information Disclosure -- 🔗来源链接

    标签:

    神龙速读
    User Feedback – Create Interactive Feedback Form, User Surveys, and Polls in Seconds <= 1.8.0 - Missing Authorization to Information Disclosure

  • 标题: Diff [3354862:3378233] for userfeedback-lite/trunk/includes/admin/class-userfeedback-onboarding-wizard.php – WordPress Plugin Repository -- 🔗来源链接

    标签:

    神龙速读
    Diff [3354862:3378233] for userfeedback-lite/trunk/includes/admin/class-userfeedback-onboarding-wizard.php – WordPress Plugin Repository
  • https://nvd.nist.gov/vuln/detail/CVE-2025-10694
四、漏洞 CVE-2025-10694 的评论

暂无评论

发表评论