一、 漏洞 CVE-2025-13062 基础信息
漏洞信息
# Supreme Modules Lite <=2.5.62 文件上传漏洞
## 概述
Supreme Modules Lite 是一款 WordPress 插件,其版本 2.5.62 及之前存在任意文件上传漏洞。
## 影响版本
受影响版本为 Supreme Modules Lite 2.5.62 及以下所有版本。
## 细节
该漏洞源于插件在处理文件上传时对文件类型验证不足,未能正确检测 JSON 文件。攻击者可利用双扩展名文件绕过文件类型校验,使恶意文件被误判为合法的 JSON 文件并成功上传。
## 影响
经过身份验证的攻击者(至少具有作者权限)可上传任意文件到服务器,可能导致远程代码执行(RCE),从而完全控制网站。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Supreme Modules Lite <= 2.5.62 - Authenticated (Author+) Arbitrary File Upload via JSON Upload Bypass
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Supreme Modules Lite plugin for WordPress is vulnerable to arbitrary file upload in all versions up to, and including, 2.5.62. This is due to insufficient file type validation detecting JSON files, allowing double extension files to bypass sanitization while being accepted as a valid JSON file. This makes it possible for authenticated attackers, with author-level access and above, to upload arbitrary files on the affected site's server which may make remote code execution possible.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
危险类型文件的不加限制上传
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress plugin Supreme Modules Lite 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin是一个应用插件。 WordPress plugin Supreme Modules Lite 2.5.62及之前版本存在代码问题漏洞,该漏洞源于文件类型验证不足,可能导致任意文件上传。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-13062 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-13062 的情报信息
标题: Supreme Modules Lite <= 2.5.62 - Authenticated (Author+) Arbitrary File Upload via JSON Upload Bypass -- 🔗来源链接
标签:
神龙速读:### 关键漏洞信息 #### 漏洞标题 - Supreme Modules Lite <= 2.5.62 - Authenticated (Author+) Arbitrary File Upload via JSON Upload Bypass #### CVSS评分 - 8.8 (高) #### 漏洞类型 - 任意文件上传(带有危险类型的未限制上传) #### 受影响版本 - <= 2.5.62 #### 修复版本 - 2.5.63 或更新的已修复版本 #### 描述 - Supreme Modules Lite 插件在所有版本中,包括 2.5.62,存在任意文件上传漏洞。这是由于文件类型验证不足,检测 JSON 文件时失败,允许使用双扩展名文件绕过净化器,导致以有效 JSON 文件的形式上传后可被接受。这使得经验证的攻击者,具有作者级别权限及以上,能够上传任意文件到受影响站点的服务器,可能引发远程代码执行。 #### 公开日期 - 2026年1月15日 #### 最后更新 - 2026年1月15日 #### 研究员 - mikemyers
标题: Changeset 3423427 for supreme-modules-for-divi – WordPress Plugin Repository -- 🔗来源链接
标签:
神龙速读:## 关键漏洞信息 ### 1. Changeset Number: - **3423427** ### 2. Timestamp: - **December 19, 2025 07:42:32 AM** ### 3. Author: - **divisupreme** ### 4. Version: - **2.5.63** ### 5. Key Changes: - **Updated JSON Handling**: Changes in JSON processing logic, potentially to mitigate file upload bypass vulnerabilities. - **File Inclusion Fixes**: Several `require_once` statements updated, indicating possible security hardening. - **Conditional Checks**: Enhanced conditional checks for JSON uploads, addressing potential bypass issues. ### 6. Files Modified: - **CalderaForms**: Updates to form handling modules. - **BusinessHours**: Modifications to business hours settings. - **IconList**: Changes in icon list modules. - **ImageAccordion**: Updates to file inclusion paths. ### 7. Security Notes: - **JSON Security Enhancement**: Adjustments to JSON handling to prevent unauthorized file uploads or content injection. - **File Upload Bypass Fix**: Strengthened file type checks and MIME type handling to block unauthorized file types. ### 8. Summary: - The changeset appears to focus on enhancing JSON processing and file handling security, particularly addressing potential vulnerabilities related to file upload bypass and content injection attacks. These updates are critical for maintaining the integrity and security of the plugin.
- https://nvd.nist.gov/vuln/detail/CVE-2025-13062
四、漏洞 CVE-2025-13062 的评论
暂无评论