支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2025-15466 基础信息
漏洞信息
                                        # Image Photo Gallery Final Tiles Grid 缺失授权任意图库管理漏洞

## 概述
WordPress的Image Photo Gallery Final Tiles Grid插件在所有版本(包括3.6.9及以下)中,多个AJAX操作缺少权限检查,存在未授权访问和修改数据的漏洞。

## 影响版本
3.6.9及以下版本

## 细节
该插件未对多个AJAX操作进行能力(capability)检查,导致低权限用户可通过特定AJAX请求执行敏感操作。这些操作包括查看、创建、修改、克隆、删除以及重新分配其他用户(包括管理员)创建的图库。

## 影响
经认证的攻击者,仅需具备Contributor或更高权限,即可越权操作任意用户的图库,造成数据泄露、篡改或删除。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Image Photo Gallery Final Tiles Grid <= 3.6.9 - Missing Authorization to Authenticated (Contributor+) Arbitrary Gallery Management
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Image Photo Gallery Final Tiles Grid plugin for WordPress is vulnerable to unauthorized access and modification of data due to missing capability checks on multiple AJAX actions in all versions up to, and including, 3.6.9. This makes it possible for authenticated attackers, with Contributor-level access and above, to view, create, modify, clone, delete, and reassign ownership of galleries created by other users, including administrators.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
授权机制缺失
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-15466 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2025-15466 的情报信息

  • 标题: Changeset 3435746 – WordPress Plugin Repository -- 🔗来源链接

    标签:

    Changeset 3435746 – WordPress Plugin Repository

  • 标题: ERROR: The request could not be satisfied -- 🔗来源链接

    标签:

    神龙速读:
                                            - **Error Code**: 403
- **Error Description**: The request could not be satisfied.
- **Issue Summary**: Request blocked. The server for the app or website cannot be connected to at this time. Possible reasons include too much traffic or a configuration error.
- **Recommended Actions**:
    - Try again later.
    - Contact the app or website owner.
    - Review CloudFront documentation for troubleshooting steps.
- **Generated By**: cloudfront (CloudFront)
- **Request ID**: DIMKj1SqNuL_wTRsUsGgio5VlNsmm6zublwiuoSJVGROAvbbMtB-jW==
    ERROR: The request could not be satisfied
  • https://nvd.nist.gov/vuln/detail/CVE-2025-15466
四、漏洞 CVE-2025-15466 的评论

暂无评论

发表评论