关键漏洞信息 漏洞概述 漏洞名称: Brevo – Email, SMS, Web Push, Chat, and more. CVE编号: CVE-2025-14799 CVE风险评分: 6.5 (中等) 访问类型: 资源访问错误使用(类型混淆) CVSS 3.1: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:L 发布和更新信息 公开发布日期: 2026年2月17日 最后更新日期: 2026年2月18日 研究者: ISMAILSHADOW 描述 受影响版本: <= 3.3.0 修复版本: 3.3.1 软件类型: 插件 插件: mailin (查看 WordPress插件页面) 修复状态: 已修复 修复建议: 升级至3.3.1版本或后续的修复版本 技术细节 漏洞类型: 对接使用不当类型导致的资源访问错误(类型混淆),由于松散比较( )代替严格比较( )验证 REST API端点处的安装ID,从而绕过授权检查。 影响: 未授权的攻击者可断开Brevo集成,删除API密钥,移除所有订阅表单并重置插件设置,通过发送布尔值 的‘id’参数值实现PHP类型混淆。 参考文档 查看 插件的跟踪记录 查看更多详情和引用访问Wordfence页面 共享与许可 版权方: Defiant Inc.(2012-2026)与MITRE Corporation(1999-2026) 开源协议与使用: 即插即用、收费等信息请参阅 更多详情。