漏洞概述 CVE-2025-13794 是 WordPress 插件 Auto Featured Image (Auto Post Thumbnail) 中存在的不正确授权/缺失授权(Missing Authorization)漏洞。该漏洞允许具有 Contributor 级别或更高权限的认证攻击者,在不拥有特定帖子权限的情况下,通过批量操作删除或生成该帖子的特色图片(缩略图)。这属于水平权限提升漏洞,可能导致内容篡改或声誉损害。 影响范围 受影响插件: Auto Featured Image (Auto Post Thumbnail) 受影响版本: 4.2.1)。 POC 代码