返回列表

WordPress LottieFiles /wp-json/lottiefiles/v1/settings/ 权限绕过漏洞（CVE-2025-68043）

CVE: CVE-2025-68043

CNVD: 暂无

CNNVD: 暂无

漏洞类型: SQL注入

漏洞等级: 高危

年份: 2026

POC_ID: 暂无

漏洞描述

LottieFiles 是一个用于 WordPress 的动画插件，允许用户轻松添加和管理 Lottie 动画。该插件在 3.0.0 及之前的版本中，/wp-json/lottiefiles/v1/settings/ 端点未正确实现权限验证，导致未经身份验证的攻击者可以直接访问该端点获取包括管理员令牌、用户ID、邮箱等敏感信息。攻击者可利用这些信息进一步接管管理员账户。

FOFA 语句

暂无

影响范围

WordPress

漏洞详情

暂无

漏洞 POC

暂无

修复建议

暂无

参考来源

https://rss.biu.life/ti/WordPress%20LottieFiles%20/wp-json/lottiefiles/v1/settings/%20%E6%9D%83%E9%99%90%E7%BB%95%E8%BF%87%E6%BC%8F%E6%B4%9E%EF%BC%88CVE-2025-68043%EF%BC%89