支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2025-12895 基础信息
漏洞信息
                                        # Kalium <=3.29 邮件中继未授权漏洞

## 概述
Kalium 3主题中的`kalium_vc_contact_form_request()`函数缺少权限检查,导致未授权用户可利用该漏洞发送邮件。

## 影响版本
WordPress Kalium 3主题所有版本至3.29(含)。

## 细节
`kalium_vc_contact_form_request()`函数未进行用户权限验证,攻击者可在未认证的情况下调用该功能,将主题用作开放邮件中继。

## 影响
攻击者可利用该漏洞以服务器身份向任意邮箱地址发送邮件,可能导致邮件滥用、垃圾邮件传播或钓鱼攻击。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Kalium <= 3.29 - Missing Authorization to Unauthenticated Mail Relay via kalium_vc_contact_form_request
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Kalium 3 | Creative WordPress & WooCommerce Theme theme for WordPress is vulnerable to unauthorized email sending due to a missing capability check on the kalium_vc_contact_form_request() function in all versions up to, and including, 3.29. This makes it possible for unauthenticated attackers to use the theme an an open mail relay and send email to arbitrary email addresses on the server's behalf.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制缺失
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress plugin Kalium 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin是一个应用插件。 WordPress plugin Kalium 3.29及之前版本存在安全漏洞,该漏洞源于缺少能力检查,可能导致未经授权的邮件发送。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-12895 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2025-12895 的情报信息

  • 标题: Just a moment... -- 🔗来源链接

    标签:

    神龙速读:
                                            从截图中可以看到以下关键信息关于漏洞的信息:

- **域名**: Themeforest.net
- **状态信息**: Cloudflare的安全验证页面,显示“Verifying you are human. This may take a few seconds.”
- **消息**: "themeforest.net needs to review the security of your connection before proceeding."
- **Ray ID**: 9c0a8504ff24f5ba

这表明Cloudflare的防火墙可能检测到某种潜在威胁或异常行为,导致对用户的连接进行安全审查。此时未提供具体的漏洞细节,但可能涉及受攻击或可疑活动的IP地址、用户的地理位置或行为模式被识别为潜在威胁。
    Just a moment...

  • 标题: Kalium Changelog - Laborator -- 🔗来源链接

    标签:

    Kalium Changelog - Laborator

  • 标题: Kalium <= 3.29 - Missing Authorization to Unauthenticated Mail Relay via kalium_vc_contact_form_request -- 🔗来源链接

    标签:

    神龙速读:
                                            以下是截图中与漏洞相关的关键信息,用简洁的markdown格式呈现:

---

### API详情

#### 脆弱性标题

**Kalium <= 3.29 - 缺乏对通过 kalium_vc_contact_form_request 进行的未认证邮件中继的授权控制**

#### 描述

Kalium 3 | Creative WordPress & WooCommerce Theme 主题对于WordPress存在安全漏洞,允许对 `kalium_vc_contact_form_request` 函数进行未经授权的电子邮件发送,原因是缺乏能力检查。

#### 参考资料

- themeeforest.net
- documentation.laborator.co

#### CVSS评分

- **5.3 (中等)**

#### CVE编号

- CVE-2025-12895

- ** poner infeccion malware** 

#### 可用 Intelligence

- 已公开发布:2026年1月15日
- 最后更新:2026年1月15日

#### 研究员

Ahmed Rayen Ayari

---

### 漏洞情况

#### 修改软件?

- 组件:Theme
- 可利用漏洞:kalium

#### 已修复?

**是**

#### 修复方案

将程序更新到3.30版本,或一个更安全的较新修复过的 版本。

#### 受影响的版本

程序版本要求:<= 3.29

#### 已修复版本

3.30

---
    Kalium <= 3.29 - Missing Authorization to Unauthenticated Mail Relay via kalium_vc_contact_form_request
  • https://nvd.nist.gov/vuln/detail/CVE-2025-12895
四、漏洞 CVE-2025-12895 的评论

暂无评论

发表评论