一、 漏洞 CVE-2025-12180 基础信息
漏洞信息
# Qi Blocks <=1.4.3 插件设置更新漏洞
## 概述
Qi Blocks 是一个 WordPress 插件,**在 1.4.3 及之前所有版本中存在缺失授权漏洞**。
## 影响版本
- 受影响版本:所有版本 up to (包括) 1.4.3
## 细节
- 插件通过 `qi-blocks/v1/update-styles` REST API 端点接收用户提交的任意 CSS 样式。
- 在 `update_global_styles_callback()` 函数中未对提交的 CSS 进行适当的**清理(sanitization)和授权验证**。
- 这使得具有 Contributor 及以上权限的已认证用户可以在全局样式中注入恶意 CSS。
## 影响
攻击者可利用该漏洞进行以下操作:
- 隐藏页面内容;
- 覆盖页面并插入伪造的 UI 元素;
- 利用 CSS 注入技术**窃取敏感信息**(数据泄露)。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-12180 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-12180 的情报信息
-
标题: Qi Blocks <= 1.4.3 - Missing Authorization to Authenticated (Contributor+) Plugin Settings Update -- 🔗来源链接
标签:
神龙速读
-
标题: class-qi-blocks-framework-global-styles.php in qi-blocks/tags/1.4.3/inc/admin/global-styles – WordPress Plugin Repository -- 🔗来源链接
标签:
神龙速读
-
标题: Changeset 3387712 for qi-blocks/trunk/inc/admin/global-styles/class-qi-blocks-framework-global-styles.php – WordPress Plugin Repository -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2025-12180
四、漏洞 CVE-2025-12180 的评论
暂无评论