一、 漏洞 CVE-2025-11755 基础信息
漏洞信息
# Delicious Recipes <=1.9.0 任意文件上传漏洞
## 漏洞概述
WP Delicious – Recipe Plugin for Food Bloggers(前身为 Delicious Recipes)是一款WordPress插件。在所有版本 **直至并包括 1.9.0** 中,存在一个 **任意文件上传漏洞**,触发点是通过CSV导入菜谱时的处理机制。
## 影响版本
- **Delicious Recipes(改名前)** 及其后续版本
- **WordPress插件 WP Delicious – Recipe Plugin for Food Bloggers**
- 版本范围:`所有版本 ≤ 1.9.0`
## 漏洞细节
- 插件允许用户通过提供**远程URL**在导入菜谱时上传文件(CSV格式)
- 该过程中未对上传文件进行足够校验
- 恶意攻击者可以**上传PHP后门文件**伪装成CSV
- 攻击者可通过执行上传的PHP文件,获得服务器的**远程代码执行权限(RCE)**
## 漏洞影响
- 只需贡献者级(Contributor-Level)及以上权限
- 导致攻击者**远程执行任意代码**
- 可能完全控制受感染的WordPress站点
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Delicious Recipes <= 1.9.0 - Authenticated (Contributor+) Arbitrary File Upload
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The WP Delicious – Recipe Plugin for Food Bloggers (formerly Delicious Recipes) plugin for WordPress is vulnerable to arbitrary file uploads when importing recipes via CSV in all versions up to, and including, 1.9.0. This flaw allows an attacker with at least Contributor-level permissions to upload a malicious PHP file by providing a remote URL during a recipe import process, leading to Remote Code Execution (RCE).
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
危险类型文件的不加限制上传
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-11755 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-11755 的情报信息
-
标题: Delicious Recipes <= 1.9.0 - Authenticated (Contributor+) Arbitrary File Upload -- 🔗来源链接
标签:
-
标题: class-delicious-recipes-rest-import-recipe-terms-controller.php in delicious-recipes/trunk/src/api/inc/endpoints – WordPress Plugin Repository -- 🔗来源链接
标签:
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-11755
四、漏洞 CVE-2025-11755 的评论
暂无评论