漏洞概述 CVE-2025-15527 是 WordPress 插件 WP Recipe Maker 中存在的一个信息泄露漏洞。该漏洞的核心问题在于 REST API 端点返回任意帖子 ID 的帖子元数据,但仅使用了宽泛的权限检查( ),而非针对特定帖子的对象级读取权限检查。这导致拥有 Contributor+ 级别权限的认证用户可以检索其他用户拥有的草稿(draft)、私有(private)和受密码保护(password-protected)帖子的标题和特色图片 URL。 影响范围 受影响插件: WP Recipe Maker 受影响版本: <= 10.2.2 受影响用户:** 拥有 Contributor+ 权限的认证用户 修复方案 修复应旨在“恢复 WordPress 的对象级访问控制”。具体而言,端点应针对特定帖子 ID 强制执行权限检查(例如使用 和/或 ),除非用户被明确授权访问私有、草稿或密码保护的帖子,否则应拒绝访问。 POC 代码