一、 漏洞 CVE-2025-5733 基础信息
漏洞信息
# Modern Events Calendar <= 7.21.9 - 信息泄露
## 漏洞概述
Modern Events Calendar Lite 插件存在全路径泄露漏洞,影响所有版本至 7.21.9。攻击者可利用该漏洞获取web应用程序的全路径信息,但这需要其他漏洞的存在才能对网站造成损害。
## 影响版本
- 所有版本至 7.21.9
## 漏洞细节
该漏洞由导出日历时对 `id` 属性的验证不足引起。未经授权的攻击者可以利用此漏洞检索web应用程序的全路径信息,这有助于发起其他攻击。
## 影响
全路径信息本身没有直接利用价值,但需要配合其他漏洞才能对受攻击网站造成实质性损害。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Modern Events Calendar <= 7.21.9 - Information Exposure
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Modern Events Calendar Lite plugin for WordPress is vulnerable to Full Path Disclosure in all versions up to, and including, 7.21.9. This is due improper or insufficient validation of the id property when exporting calendars. This makes it possible for unauthenticated attackers to retrieve the full path of the web application, which can be used to aid other attacks. The information displayed is not useful on its own, and requires another vulnerability to be present for damage to an affected website.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
通过发送数据的信息暴露
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-5733 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
