CVE-2025-12579CVE-2025-12579是WordPress的Reuters Direct插件中的一个安全漏洞。该漏洞源于插件在处理'logoff'动作时缺少适当的权限验证机制。在所有3.0.0及以下版本中,攻击者可以在无需任何认证的情况下触发该动作,导致插件设置被恶意重置。此漏洞影响站点的完整性,攻击者可利用此缺陷干扰插件的正常功能,可能造成服务中断或配置混乱。由于该漏洞无需认证即可利用,且攻击复杂度低,因此具有较高的实际威胁性。建议站点管理员尽快升级到最新版本或采取临时缓解措施。
Reuters Direct插件的'logoff'动作处理函数未进行权限检查(missing capability check),允许未认证用户直接访问并执行该功能。在WordPress插件架构中,通常需要使用current_user_can()或类似函数验证用户权限,但该插件在实现'logoff'动作时遗漏了此安全检查。攻击者可以通过构造恶意请求直接调用该动作,触发插件设置的数据库重置操作。由于该端点无需认证即可访问,攻击者可以远程利用此漏洞批量重置受影响站点的插件配置。此类攻击可能导致依赖该插件的新闻发布系统功能异常,影响内容分发流程。