一、 漏洞 CVE-2025-3793 基础信息
漏洞标题
Buddypress 强制密码更改 <= 0.1 - 验证用户(订阅者+)通过密码更新接管账户
来源:AIGC 神龙大模型
漏洞描述信息
## 漏洞概述 Buddypress Force Password Change插件存在认证绕过漏洞,导致账户接管。该漏洞源于插件未能在更新用户密码前正确验证用户身份,此问题影响所有版本,包括0.1及其以下版本。攻击者可以利用该漏洞更改任意用户(包括管理员)的密码,从而接管账户。 ## 影响版本 - 所有版本,包括0.1及其以下版本 ## 漏洞细节 插件在通过`bp_force_password_ajax`函数更新用户密码时,未能正确验证用户的身份。这意味着攻击者(具有订阅者级别及其以上权限)可以更改任意用户的密码。此漏洞存在于所有版本,包括0.1版本。 ## 影响 - 攻击者可以利用此漏洞更改管理员及其他任意用户的密码。 - 攻击者可以利用更改的密码接管受害者账户。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
认证机制不恰当
来源:AIGC 神龙大模型
漏洞标题
Buddypress Force Password Change <= 0.1 - Authenticated (Subscriber+) Account Takeover via Password Update
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Buddypress Force Password Change plugin for WordPress is vulnerable to authenticated account takeover due to the plugin not properly validating a user's identity prior to updating their password through the 'bp_force_password_ajax' function in all versions up to, and including, 0.1. This makes it possible for authenticated attackers, with subscriber-level access and above and under certain prerequisites, to change arbitrary user's passwords, including administrators, and leverage that to gain access to their accounts.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
未经验证的口令修改
来源:美国国家漏洞数据库 NVD
漏洞标题
WordPress plugin Buddypress Force Password Change 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。 WordPress plugin Buddypress Force Password Change 0.1及之前版本存在安全漏洞,该漏洞源于bp_force_password_ajax函数未正确验证用户身份,可能导致账户接管。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-3793 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-3793 的情报信息