关键信息 漏洞描述 漏洞名称: OrderConvo < 14 - Unauthenticated Arbitrary File Read 描述: 插件未验证要下载的文件路径,允许未授权攻击者通过路径遍历攻击读取/下载任意文件。 概念验证 (PoC) 路径和 可能需要根据受害站点的配置进行调整。 影响插件 在版本14中已修复。 参考资料 CVE: CVE-2025-10162 分类 类型: TRAVERSAL OWASP Top 10: A1: Injection CWE: CWE-22 CVSS: 7.5 (高) 其他信息 原始研究员: Khaled Alenazi (Nxpl0ited) 提交者: Khaled Alenazi (Nxpl0ited) 验证: 是 WPVDB ID: f878615d-955d-4365-87e0-6c928f548986 时间线 公开发布: 2025-09-16(约21天前) 添加: 2025-09-16(约20天前) 最后更新: 2025-09-16(约20天前) 其他相关漏洞 System Dashboard < 2.8.15 - Admin+ Path Traversal AceIDE <= 2.6.2 - Authenticated (admin+) Arbitrary File Access Hotel Booking Lite < 4.8.5 - Unauthenticated Arbitrary File Download & Deletion BackupBuddy < 8.7.5 - Unauthenticated Arbitrary File Access Ultimate Member < 2.5.1 - Admin+ RCE