CubeWP – All-in-One Dynamic Content Framework <= 1.1.27 - Unauthenticated Information Exposure 漏洞信息(CVE-2025-12129)

一、漏洞 CVE-2025-12129 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞信息

                                        # CubeWP 动态内容框架信息泄露漏洞

## 概述
CubeWP – All-in-One Dynamic Content Framework 插件在所有版本至1.1.27中存在信息暴露漏洞，攻击者可通过REST API端点未授权获取受限内容。

## 影响版本
1.1.27 及之前所有版本

## 细节
该漏洞存在于 `/cubewp-posts/v1/query-new` 和 `/cubewp-posts/v1/query` REST API 端点，因缺少对可返回文章类型的访问控制，导致未认证用户可访问本应受保护的内容。

## 影响
攻击者无需身份验证即可获取密码保护、私有或草稿状态文章中的敏感信息。

神龙判断

是否为 Web 类漏洞： 未知

判断理由：

N/A

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

CubeWP – All-in-One Dynamic Content Framework <= 1.1.27 - Unauthenticated Information Exposure

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The CubeWP – All-in-One Dynamic Content Framework plugin for WordPress is vulnerable to Information Exposure in all versions up to, and including, 1.1.27 via the /cubewp-posts/v1/query-new and /cubewp-posts/v1/query REST API endpoints due to insufficient restrictions on which posts can be included. This makes it possible for unauthenticated attackers to extract data from password protected, private, or draft posts that they should not have access to.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

信息暴露

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2025-12129 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-12129 的情报信息

标题： ERROR: The request could not be satisfied -- 🔗来源链接

标签：

神龙速读：

                                        ### 关键信息

- **HTTP状态码**: 403 Forbidden
- **错误信息**: The request could not be satisfied. Request blocked.
- **原因**: 
  - 无法连接到服务器，可能由于流量过大或配置错误。
  - 可能与CloudFront配置有关。
- **调试建议**: 
  - 稍后再试，或联系应用或网站所有者。
  - 如果通过CloudFront提供内容，可通过文档查找解决方法。
- **生成器**: cloudfront (CloudFront)
- **请求ID**: s3KqEcbzoP5jT4tMrU70KPUW8X39vFbpNChACl-GnHCUTwodwXJNIA==

ERROR: The request could not be satisfied

标题： Changeset 3422640 for cubewp-framework/trunk/cube/classes/class-cubewp-rest-api.php – WordPress Plugin Repository -- 🔗来源链接

标签：

神龙速读：

                                        ### 关键漏洞信息

#### 文件路径
- `cubewp-framework/trunk/cube/classes/class-cubewp-rest-api.php`

#### 版本信息
- 更新至 `1.1.28` 版本，包含多项修复

#### 关键更改
- **权限检查增强**:
  - 增加了 `get_posts_permission_check` 来验证请求权限。
  - `get_posts_permission_check` 函数在 `$request` 参数中验证读取权限。

#### 安全性和过滤
- **过滤敏感字段**:
  - 移除了 `$post->post_password` 等敏感字段。
  - 对未发布和受密码保护的帖子在 REST API 中进行了额外过滤。

#### 数据处理优化
- **数据变更处理**: 
  - 从原始 `$posts->posts` 变更到 `$filtered_posts`。
  - 更正了 `$posts->query['paged']` 和相关分页变量的处理逻辑。

#### 修复目标
- 避免未授权用户访问受密码保护或非公开状态的帖子数据。

Changeset 3422640 for cubewp-framework/trunk/cube/classes/class-cubewp-rest-api.php – WordPress Plugin Repository

https://nvd.nist.gov/vuln/detail/CVE-2025-12129

四、漏洞 CVE-2025-12129 的评论

暂无评论

支持本站 — 捐款将帮助我们持续运营

一、漏洞 CVE-2025-12129 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-12129 的公开POC

三、漏洞 CVE-2025-12129 的情报信息

四、漏洞 CVE-2025-12129 的评论

发表评论

支持本站 — 捐款将帮助我们持续运营

一、 漏洞 CVE-2025-12129 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-12129 的公开POC

三、漏洞 CVE-2025-12129 的情报信息

四、漏洞 CVE-2025-12129 的评论

发表评论

一、漏洞 CVE-2025-12129 基础信息