Filr – Secure document library <= 1.2.11 - Authenticated (Administrator+) Stored Cross-Site Scripting via HTML Upload 漏洞信息(CVE-2025-14632)

一、漏洞 CVE-2025-14632 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞信息

                                        # Filr 文档库 1.2.11 认证XSS漏洞

## 概述
Filr – Secure document library 插件中的 FILR_Uploader 类存在存储型跨站脚本（XSS）漏洞，源于对上传文件类型限制不足，导致攻击者可上传恶意 HTML 文件。

## 影响版本
所有版本至 1.2.11（含）

## 细节
该漏洞存在于 FILR_Uploader 类中，未正确验证上传文件的类型，允许认证用户上传包含 JavaScript 的 HTML 文件。当用户访问已上传的恶意文件时，脚本将执行。

## 影响
经认证的攻击者（需具备管理员及以上权限，并可创建或编辑 'filr' 自定义文章类型）可上传恶意文件，实现存储型 XSS，进而劫持用户会话或执行恶意操作。

神龙判断

是否为 Web 类漏洞： 未知

判断理由：

N/A

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

Filr – Secure document library <= 1.2.11 - Authenticated (Administrator+) Stored Cross-Site Scripting via HTML Upload

来源：美国国家漏洞数据库 NVD

漏洞描述信息

The Filr – Secure document library plugin for WordPress is vulnerable to Stored Cross-Site Scripting via unrestricted file upload in all versions up to, and including, 1.2.11 due to insufficient file type restrictions in the FILR_Uploader class. This makes it possible for authenticated attackers, with Administrator-level access and above, to upload malicious HTML files containing JavaScript that will execute whenever a user accesses the uploaded file, granted they have permission to create or edit posts with the 'filr' post type.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N

来源：美国国家漏洞数据库 NVD

漏洞类别

危险类型文件的不加限制上传

来源：美国国家漏洞数据库 NVD

二、漏洞 CVE-2025-14632 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2025-14632 的情报信息

标题： ERROR: The request could not be satisfied -- 🔗来源链接

标签：

神龙速读：

                                        ### 关键漏洞信息

- **HTTP状态码**: 403 ERROR
- **错误信息**: The request could not be satisfied.
- **原因**:
  - 请求被阻止。无法在这个时间连接到应用程序或网站的服务器。可能是流量过大或配置错误。
- **建议**:
  - 重试或联系应用程序或网站的所有者。
  - 如果通过CloudFront提供内容给客户，可以参考CloudFront文档进行故障排除。
- **生成方**: CloudFront (由cloudfront生成)
- **请求ID**: WWUZCzGJqGp-8BMFl-_i18KtXJBYmitp_QFHqBssQSYvert1tfplQ==

ERROR: The request could not be satisfied

https://plugins.trac.wordpress.org/browser/filr-protection/tags/1.2.10/src/class-filr-uploader.php#L14
https://plugins.trac.wordpress.org/browser/filr-protection/trunk/src/class-filr-uploader.php#L14

标题： Changeset 3425333 for filr-protection – WordPress Plugin Repository -- 🔗来源链接

标签：

神龙速读：

                                        ### 关键信息

- **Changeset**: 3425333
- **Plugin**: filr-protection
- **Release Version**: 1.2.12
- **Date**: 2025-12-22 12:39:43 PM
- **Author**: altesin

#### Security Updates

- **Removed Extension**: 'htm' from the list of allowed file extensions.
- **Fixed**: Security issue with file uploads.

#### Affected Files

- `filr-protection/trunk/filr-protection.php`
- `filr-protection/trunk/readme.txt`
- `filr-protection/trunk/src/class-filr-uploader.php`

Changeset 3425333 for filr-protection – WordPress Plugin Repository

https://nvd.nist.gov/vuln/detail/CVE-2025-14632

四、漏洞 CVE-2025-14632 的评论

暂无评论

支持本站 — 捐款将帮助我们持续运营

一、漏洞 CVE-2025-14632 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-14632 的公开POC

三、漏洞 CVE-2025-14632 的情报信息

四、漏洞 CVE-2025-14632 的评论

发表评论

支持本站 — 捐款将帮助我们持续运营

一、 漏洞 CVE-2025-14632 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-14632 的公开POC

三、漏洞 CVE-2025-14632 的情报信息

四、漏洞 CVE-2025-14632 的评论

发表评论

一、漏洞 CVE-2025-14632 基础信息