一、 漏洞 CVE-2025-14464 基础信息
漏洞信息
# PDF简历解析器 <=1.0 SMTP凭证泄露漏洞
## 概述
PDF Resume Parser WordPress 插件存在敏感信息泄露漏洞,影响所有版本至 1.0(含)。
## 影响版本
所有版本 ≤ 1.0
## 细节
该插件注册了一个可被未认证用户访问的 AJAX 动作处理程序,导致 SMTP 配置信息(包括用户名和密码)被暴露。
## 影响
未认证攻击者可获取 WordPress 中存储的 SMTP 凭据,进而利用这些凭据攻击电子邮件账户,或尝试访问使用相同凭据的其他系统。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
PDF Resume Parser <= 1.0 - Unauthenticated Sensitive Information Disclosure in SMTP Credentials
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The PDF Resume Parser plugin for WordPress is vulnerable to Sensitive Information Exposure in all versions up to, and including, 1.0. This is due to the plugin registering an AJAX action handler that is accessible to unauthenticated users and exposes SMTP configuration data including credentials. This makes it possible for unauthenticated attackers to extract sensitive SMTP credentials (username and password) from the WordPress configuration, which could be leveraged to compromise email accounts and potentially gain unauthorized access to other systems using the same credentials.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress plugin PDF Resume Parser 信息泄露漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin是一个应用插件。 WordPress plugin PDF Resume Parser 1.0及之前版本存在信息泄露漏洞,该漏洞源于AJAX操作处理程序可被未经验证的用户访问,可能导致敏感信息泄露。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
信息泄露
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-14464 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-14464 的情报信息
标题: ERROR: The request could not be satisfied -- 🔗来源链接
标签:
神龙速读:以下是从该网页截图中获取到的关于漏洞的关键信息,以简洁的Markdown格式返回: ```markdown ### 403 Error: Request Blocked - **Reason**: Request was blocked, indicating a potential security policy in place such as Web Application Firewall (WAF) rules or security groups. - **Details**: - Generated by CloudFront, suggesting the block happened at the AWS CloudFront edge location. - Request ID: `veKkkFmU88MOVHImnDC2iCmQi28VFowBYxRJuVVpv5Nen41N5VXDI20==`, useful for support inquiries or logs correlation. - **Possible Vulnerability Insight**: The 403 Forbidden error could be due to overly restrictive access controls or an incorrect security configuration, potentially pointing to a Denial of Service (DoS) protection mechanism triggering erroneously. It does not directly suggest a traditional software vulnerability but points towards a configuration issue that might allow for bypass or DoS strategies if exploited. - **Actionable Advice**: Review CloudFront and origin server access logs, and inspect security configurations for unintended blocks. ```
- https://plugins.trac.wordpress.org/browser/pdf-resume-parser/tags/1.0/pdf-resume-parser.php#L309
- https://plugins.trac.wordpress.org/browser/pdf-resume-parser/trunk/pdf-resume-parser.php#L309
- https://nvd.nist.gov/vuln/detail/CVE-2025-14464
四、漏洞 CVE-2025-14464 的评论
匿名用户
2026-01-15 06:08:27Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.