CVE-2025-11369: WordPress Essential Blocks插件权限检查缺失导致API密钥泄露

漏洞信息

漏洞编号

CVE-2025-11369

漏洞类型

缺少授权检查/敏感信息泄露

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Gutenberg Essential Blocks WordPress插件

漏洞概述

该漏洞允许具有Author级别权限的认证用户通过特定的回调函数获取外部服务的API密钥，包括Instagram访问令牌和Google Maps API密钥等敏感信息。攻击者可以利用这些泄露的凭证进行进一步的攻击。

技术细节

受影响的函数包括get_instagram_access_token_callback、google_map_api_key_save_callback和get_siteinfo，它们在处理请求时没有正确验证用户权限。这允许低权限用户访问本应仅限管理员的功能。

攻击链分析

STEP 1

1

攻击者获取WordPress Author级别账户

STEP 2

2

构造恶意请求调用受影响的回调函数

STEP 3

3

提取Instagram和Google Maps API密钥

STEP 4

4

使用泄露凭证进行进一步攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

需要构造特定的HTTP请求来触发这些回调函数，提取API密钥。

影响范围

5.7.2及之前所有版本

防御指南

临时缓解措施

暂时禁用相关插件功能，等待官方修复