Crush.pics Image Optimizer <= 1.8.7 - Missing Authorization to Authenticated (Subscriber+) Plugin Settings Update 漏洞信息(CVE-2025-14482)

一、漏洞 CVE-2025-14482 基础信息

漏洞信息

                                        # Crush.pics 图片优化器 插件权限漏洞

## 概述
Crush.pics Image Optimizer 插件在所有版本（包括 1.8.7 及之前）中存在因缺少权限检查导致的未授权数据修改漏洞。

## 影响版本
所有版本 ≤ 1.8.7

## 细节
多个函数未进行适当的 capability 检查，导致低权限用户可执行敏感操作。

## 影响
经身份认证的攻击者（拥有 Subscriber 及以上权限）可修改插件设置，包括禁用自动压缩和更改图像质量参数。

神龙判断

是否为 Web 类漏洞： 未知

判断理由：

N/A

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

Crush.pics Image Optimizer <= 1.8.7 - Missing Authorization to Authenticated (Subscriber+) Plugin Settings Update

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The Crush.pics Image Optimizer - Image Compression and Optimization plugin for WordPress is vulnerable to unauthorized modification of data due to missing capability checks on multiple functions in all versions up to, and including, 1.8.7. This makes it possible for authenticated attackers, with Subscriber-level access and above, to modify plugin settings including disabling auto-compression and changing image quality settings.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

授权机制缺失

来源：美国国家漏洞数据库 NVD

漏洞标题

WordPress plugin Crush.pics Image Optimizer - Image Compression and Optimization 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin是一个应用插件。 WordPress plugin Crush.pics Image Optimizer - Image Compression and Optimization 1.8.7及之前版本存在安全漏洞，该漏洞源于多个函数缺少能力检查，可能导致未经授权的数据

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2025-14482 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-14482 的情报信息

https://plugins.trac.wordpress.org/browser/crush-pics/trunk/inc/class-ajax.php#L66

标题： ERROR: The request could not be satisfied -- 🔗来源链接

标签：

神龙速读：

                                        ```
### 关键信息

- **状态码**: 403 ERROR
- **错误信息**: The request could not be satisfied.
- **禁用原因**: Request blocked. We can't connect to the server for this app or website at this time.
- **可能原因**: There might be too much traffic or a configuration error.
- **建议措施**: Try again later, or contact the app or website owner. Review the CloudFront documentation for steps to troubleshoot and prevent this error.
- **生成者**: Generated by cloudfront (CloudFront)
- **请求ID**: YLYu60v6iMljvRGo9AJr6eBDwyavD6_03JxRUNdj6NT_7isSGJFfQ==
```

ERROR: The request could not be satisfied

https://plugins.trac.wordpress.org/browser/crush-pics/trunk/inc/class-ajax.php#L30
https://plugins.trac.wordpress.org/browser/crush-pics/trunk/inc/class-ajax.php#L193
https://nvd.nist.gov/vuln/detail/CVE-2025-14482

四、漏洞 CVE-2025-14482 的评论

匿名用户

2026-01-15 06:08:27

Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.

支持本站 — 捐款将帮助我们持续运营

一、漏洞 CVE-2025-14482 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-14482 的公开POC

三、漏洞 CVE-2025-14482 的情报信息

四、漏洞 CVE-2025-14482 的评论

匿名用户

发表评论

支持本站 — 捐款将帮助我们持续运营

一、 漏洞 CVE-2025-14482 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-14482 的公开POC

三、漏洞 CVE-2025-14482 的情报信息

四、漏洞 CVE-2025-14482 的评论

匿名用户

发表评论

一、漏洞 CVE-2025-14482 基础信息