WordPress插件授权缺失漏洞：CVE-2025-14003技术分析

CVE-2025-14003: CWE-862 wpchill Image Gallery – Photo Grid & Video Gallery插件中的授权缺失漏洞

严重性：中等

类型：漏洞

CVE编号：CVE-2025-14003

WordPress的Image Gallery – Photo Grid & Video Gallery插件在所有版本至2.13.3（包括2.13.3）中，由于add_images_to_gallery_callback()函数缺少权限检查，存在可导致数据被未授权修改的漏洞。这使得拥有作者（Author）级别或以上权限的认证攻击者，能够向其他用户拥有的任意Modula图库中添加图片。

技术详情

• 数据版本：5.2
• 分配者简称：Wordfence
• 发布日期：2025-12-04T07:14:09.911Z
• CVSS版本：3.1
• 状态：已发布
• 威胁ID：69401ef9d9bcdf3f3de12794
• 添加到数据库：2025年12月15日下午2:45:13
• 最后更新：2025年12月15日下午2:45:39

来源：CVE数据库 V5

发布日期：2025年12月15日（UTC时间14:25:10）

供应商/项目：wpchill

产品：Image Gallery – Photo Grid & Video Gallery

aeYFGlNGPch5/i0AskAWpmMVXj3lzK9JFM/1O1GWF7Acz/m8Rq431sSJVtI/zLzlhECNhfpcaWjHA8DzonS4asI2jnqC/uIb9XKQWoB42CA4BXFyC3LNbz7lGpH01WQm