漏洞关键信息总结 1. 漏洞概述 CVE编号: CVE-2025-11369 漏洞名称: Essential Blocks – Missing Auth to Sensitive Data Exposure (API keys of Instagram) Author+ 漏洞类型: 缺失/错误权限 (Missing / Incorrect Capability) 详细描述: 该漏洞导致未经授权的访问敏感配置数据。漏洞允许具有“作者级”(Author-level)访问权限的用户检索API密钥和令牌。这是因为几个插件入口点验证了较弱的或不正确的权限边界,而非严格的管理员权限。 2. 影响范围 受影响插件: Essential Blocks (Gutenberg Essential Blocks – Page Builder for Gutenberg Blocks & Patterns) 受影响版本: 5.7.2)。 轮换密钥: 一旦泄露,所有暴露的密钥/令牌(Instagram, Google Maps, Openverse)应被视为已泄露并进行轮换。 审计角色分配: 确保只有真正需要权限的用户才拥有作者权限。 监控可疑调用**: 监控可疑的 调用。