一、 漏洞 CVE-2025-12175 基础信息
漏洞信息
# 事件日历 <=6.15.9 认证用户信息泄露漏洞
## 漏洞概述
The Events Calendar 是一个广泛使用的 WordPress 日程管理插件,其 **6.15.9 及之前所有版本** 中存在安全漏洞。该漏洞源于在 `tec_qr_code_modal` AJAX 端点缺少必要的权限验证机制。
## 影响版本
- 插件名称:The Events Calendar
- 版本范围:≤ 6.15.9
## 漏洞细节
在 `tec_qr_code_modal` AJAX 功能中未执行用户能力(capability)检查,导致攻击者仅需具备订阅者(Subscriber)或更高权限即可访问该端点。
## 漏洞影响
- 攻击者可以查看尚未发布的 **草稿事件名称**
- 攻击者可以为这些草稿事件 **生成和查看 QR 码**
- 此漏洞可被用于 **未经授权的信息访问和数据泄露**
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-12175 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-12175 的情报信息
-
标题: The Events Calendar <= 6.15.9 - Missing Authorization to Authenticated (Subscriber+) Draft Event Title/QR Code Exposure -- 🔗来源链接
标签:
-
标题: the-events-calendar/src/Events/QR/QR_Code.php at main · the-events-calendar/the-events-calendar · GitHub -- 🔗来源链接
标签:
-
标题: Changeset 3386042 for the-events-calendar/tags/6.15.10/src/Events/QR/QR_Code.php – WordPress Plugin Repository -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2025-12175
四、漏洞 CVE-2025-12175 的评论
暂无评论