CVE-2025-66096 CVSS 4.3 中危

CVE-2025-66096 WordPress Table Block by Tableberg插件缺失授权漏洞

披露日期: 2025-11-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-66096

漏洞类型

缺失授权/访问控制

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Table Block by Tableberg插件

漏洞概述

该漏洞为WordPress Table Block by Tableberg插件中的缺失授权问题，攻击者可以利用该漏洞访问或修改本应需要更高权限才能访问的功能和数据。漏洞源于插件对某些敏感操作的访问控制验证不完整，允许低权限用户执行超出其权限范围的操作。

技术细节

该漏洞存在于插件的访问控制逻辑中，具体表现为对某些API端点或功能的权限检查不足。攻击者可通过构造特定请求，利用低权限账户执行通常需要管理员权限的操作。CVSS评分4.3表明该漏洞对系统机密性和完整性的影响有限，但仍需及时修复。

攻击链分析

STEP 1

识别目标WordPress站点安装的Table Block by Tableberg插件版本

STEP 2

使用低权限账户（如订阅者）访问存在漏洞的API端点

STEP 3

构造恶意请求，绕过授权检查

STEP 4

执行超出权限的操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

暂无公开PoC代码

影响范围

Table Block by Tableberg <= 0.6.9

防御指南

临时缓解措施

立即升级Table Block by Tableberg插件至最新版本，审查并调整用户权限设置

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表