漏洞关键信息 漏洞详情 CVE编号: CVE-2025-13313 CVSS评分: 9.8 (Critical) 公开发布日期: 2025年12月4日 最近更新日期: 2025年12月5日 研究者: Athiwat Tiprasaharn (Jitlada) 描述 CRM Memberships <= 2.5 版本存在权限缺失问题,攻击者可以利用 'ntzcrm_changepassword' AJAX 端点进行未授权密码重置,从而导致权限提升。此外,该插件还暴露了 'ntzcrm_get_users' 端点,允许攻击者在未验证的情况下枚举订阅者的电子邮件地址,进一步利用密码重置漏洞。 参考链接 plugins.trac.wordpress.org plugins.trac.wordpress.org plugins.trac.wordpress.org plugins.trac.wordpress.org plugins.trac.wordpress.org 漏洞详细信息 软件类型: 插件 软件Slug: crm-memberships 更多网上信息 已修复?: 否 修复措施: 无已知修复补丁可用。请仔细审查漏洞详情并根据组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。 受影响版本: <= 2.5