漏洞总结 漏洞概述 CVE编号: CVE-2025-12585 漏洞类型: 不安全的直接对象引用 (IDOR) / 未授权信息泄露 描述: MxChat Basic 插件在 AJAX 端点中未验证会话所有权。这允许未授权用户(只要拥有有效的 nonce)访问其他用户的对话历史及 IP 地址。漏洞源于 函数在 文件中仅基于客户端提供的 检索数据,而未验证请求者是否拥有该会话。 影响范围 软件: WordPress MxChat – AI Chatbot 版本: <= 2.5.5 POC/利用代码**