一、 漏洞 CVE-2026-0717 基础信息
漏洞信息
# LottieFiles Lottie块 <=3.0.0 敏感信息泄露
## 概述
LottieFiles – Lottie block for Gutenberg 插件在所有版本(包括 3.0.0)中存在敏感信息泄露漏洞,通过 `/wp-json/lottiefiles/v1/settings/` REST API 端点,未认证攻击者可获取站点所有者的 LottieFiles.com 账户凭据。
## 影响版本
所有版本 ≤ 3.0.0
## 细节
当启用“Share LottieFiles account with other WordPress users”选项时,`/wp-json/lottiefiles/v1/settings/` 接口未进行身份验证检查,导致攻击者可直接访问该端点,获取存储的 LottieFiles.com 账户信息。
## 影响
未认证攻击者可获取站点所有者的 LottieFiles.com API 访问令牌和电子邮件地址,可能导致账户劫持或进一步的横向渗透。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
LottieFiles – Lottie block for Gutenberg <= 3.0.0 - Unauthenticated Sensitive Information Exposure
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The LottieFiles – Lottie block for Gutenberg plugin for WordPress is vulnerable to Sensitive Information Exposure in all versions up to, and including, 3.0.0 via the `/wp-json/lottiefiles/v1/settings/` REST API endpoint. This makes it possible for unauthenticated attackers to retrieve the site owner's LottieFiles.com account credentials including their API access token and email address when the 'Share LottieFiles account with other WordPress users' option is enabled.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress plugin LottieFiles – Lottie block for Gutenberg 信息泄露漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能。WordPress plugin是一个应用插件。 WordPress plugin LottieFiles – Lottie block for Gutenberg 3.0.0及之前版本存在信息泄露漏洞,该漏洞源于REST API端点信息暴露,可能导致敏感信息泄露。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
信息泄露
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2026-0717 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2026-0717 的情报信息
标题: ERROR: The request could not be satisfied -- 🔗来源链接
标签:
神龙速读:从这个网页截图中,可以获取到以下关于漏洞的关键信息: - **错误代码**: 403 错误 - **错误信息**: "The request could not be satisfied." - **错误原因**: - 请求被阻止,无法连接到服务器。 - 可能由于流量过大或配置错误。 - **建议措施**: - 重试连接。 - 联系应用或网站所有者。 - 如果通过CloudFront提供内容,可参阅CloudFront文档进行故障排除。 - **生成来源**: cloudfront(CloudFront) - **请求ID**: l8A263jgfcZJ1qZe0F6w04X8QAUpv9m_702RffIRUXTomY26pt8WkQ== 建议进一步审查CloudFront的配置和日志,以确定导致403错误的具体原因。
- https://plugins.trac.wordpress.org/browser/lottiefiles/tags/3.0.0/src/common.php?marks=21,122#L21
- https://nvd.nist.gov/vuln/detail/CVE-2026-0717
四、漏洞 CVE-2026-0717 的评论
匿名用户
2026-01-15 06:08:27Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.