一、 漏洞 CVE-2025-14172 基础信息
漏洞信息
# WP Page Permalink Extension 认证用户重写规则刷新漏洞
## 概述
WP Page Permalink Extension 插件中的 `cwpp_trigger_flush_rewrite_rules` 函数缺少授权检查,导致存在缺失授权漏洞。
## 影响版本
所有版本至 1.5.4(含)
## 细节
该漏洞存在于 `wp_ajax_cwpp_trigger_flush_rewrite_rules` 钩子绑定的 `cwpp_trigger_flush_rewrite_rules` 函数中,未对用户权限进行验证。
## 影响
经身份验证的攻击者(拥有订阅者及以上权限)可通过 `action` 参数触发重写规则刷新,可能导致网站路由异常或配置重置。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
WP Page Permalink Extension <= 1.5.4 - Missing Authorization to Authenticated (Subscriber+) Arbitrary Rewrite Rules Flush
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The WP Page Permalink Extension plugin for WordPress is vulnerable to Missing Authorization in all versions up to, and including, 1.5.4. This is due to missing authorization checks on the `cwpp_trigger_flush_rewrite_rules` function hooked to `wp_ajax_cwpp_trigger_flush_rewrite_rules`. This makes it possible for authenticated attackers, with Subscriber-level access and above, to flush the site's rewrite rules via the `action` parameter.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制缺失
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress plugin WP Page Permalink Extension 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin是一个应用插件。 WordPress plugin WP Page Permalink Extension 1.5.4及之前版本存在安全漏洞,该漏洞源于cwpp_trigger_flush_rewrite_rules函数缺少授权检查,可能导致未经授权的重写规则刷新。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-14172 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | The WP Page Permalink Extension plugin (<= 1.5.4) allows authenticated users with insufficient privileges to trigger the AJAX action cwpp_trigger_flush_rewrite_rules due to missing authorization checks. | https://github.com/RootHarpy/CVE-2025-14172-Nuclei-Template | POC详情 |
三、漏洞 CVE-2025-14172 的情报信息
- https://plugins.trac.wordpress.org/browser/change-wp-page-permalinks/trunk/change-wp-page-permalinks.php#L188
- https://plugins.trac.wordpress.org/browser/change-wp-page-permalinks/tags/1.5.4/change-wp-page-permalinks.php#L188
标题: ERROR: The request could not be satisfied -- 🔗来源链接
标签:
神龙速读:- **Error Code**: 403 - **Error Message**: The request could not be satisfied. - **Details**: - Request blocked. - We can't connect to the server for this app or website at this time. - There might be too much traffic or a configuration error. - Suggestion: Try again later, or contact the app or website owner. - If you provide content to customers through CloudFront, review the CloudFront documentation for troubleshooting. - **Generated by**: CloudFront (CloudFront) - **Request ID**: bzojZJPhR0DnyBvByvmrvkQ.yEV8PszaGeaVe.Zbacjdf09NWIaVw==
- https://nvd.nist.gov/vuln/detail/CVE-2025-14172
四、漏洞 CVE-2025-14172 的评论
暂无评论