一、 漏洞 CVE-2025-10750 基础信息
漏洞信息
                                        # PowerBI Embed Reports 1.2.0 信息泄露漏洞

## 概述

PowerBI Embed Reports WordPress 插件在所有版本(最多至并包括 1.2.0)中存在敏感信息泄露漏洞。

## 影响版本

- PowerBI Embed Reports 插件版本 1.2.0 及之前所有版本

## 漏洞细节

插件未对 `mo_epbr_admin_observer()` 函数中的 'testUser' 请求端点执行权限校验和身份验证验证。该函数通过 WordPress 的 'init' 钩子调用。

## 影响

攻击者可在无需身份验证的情况下访问 Azure AD 用户的敏感信息,包括:

- 个人身份信息(PII):如 displayName、mail、phones、department  
- OAuth 错误详情:包括 Azure AD 应用程序/客户端 ID、错误代码、追踪 ID(trace IDs)、关联 ID(correlation IDs)
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
PowerBI Embed Reports <= 1.2.0 - Unauthenticated Sensitive Information Disclosure
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The PowerBI Embed Reports plugin for WordPress is vulnerable to Sensitive Information Disclosure in all versions up to, and including, 1.2.0. This is due to missing capability checks and authentication verification on the 'testUser' endpoint accessible via the mo_epbr_admin_observer() function hooked on 'init'. This makes it possible for unauthenticated attackers to access sensitive Azure AD user information including personal identifiable information (PII) such as displayName, mail, phones, department, or detailed OAuth error data including Azure AD Application/Client IDs, error codes, trace IDs, and correlation IDs.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress plugin PowerBI Embed Reports 信息泄露漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin是一个应用插件。 WordPress plugin PowerBI Embed Reports 1.2.0及之前版本存在信息泄露漏洞,该漏洞源于缺少能力检查和身份验证验证,可能导致敏感信息泄露。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
信息泄露
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-10750 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-10750 的情报信息

  • 标题: PowerBI Embed Reports <= 1.2.0 - Unauthenticated Sensitive Information Disclosure -- 🔗来源链接

    标签:

    神龙速读
    PowerBI Embed Reports <= 1.2.0 - Unauthenticated Sensitive Information Disclosure

  • 标题: embed-microsoft-power-bi-reports.php in embed-power-bi-reports/tags/1.2.0 – WordPress Plugin Repository -- 🔗来源链接

    标签:

    神龙速读
    embed-microsoft-power-bi-reports.php in embed-power-bi-reports/tags/1.2.0 – WordPress Plugin Repository

  • 标题: adminObserver.php in embed-power-bi-reports/tags/1.2.0/Observer – WordPress Plugin Repository -- 🔗来源链接

    标签:

    神龙速读
    adminObserver.php in embed-power-bi-reports/tags/1.2.0/Observer – WordPress Plugin Repository

  • 标题: adminObserver.php in embed-power-bi-reports/tags/1.2.0/Observer – WordPress Plugin Repository -- 🔗来源链接

    标签:

    神龙速读
    adminObserver.php in embed-power-bi-reports/tags/1.2.0/Observer – WordPress Plugin Repository

  • 标题: Changeset 3369956 for embed-power-bi-reports – WordPress Plugin Repository -- 🔗来源链接

    标签:

    神龙速读
    Changeset 3369956 for embed-power-bi-reports – WordPress Plugin Repository
  • https://nvd.nist.gov/vuln/detail/CVE-2025-10750
四、漏洞 CVE-2025-10750 的评论

暂无评论

发表评论