Base de données de vulnérabilitésCVE-2025-12880

CVE-2025-12880:
WordPress Analyse et atténuation des vulnérabilités

Aperçu

A vulnerability identified as CVE-2024-12880 was discovered in infiniflow/ragflow version RAGFlow-0.13.0, which allows for partial account takeover through insecure data querying. The vulnerability was initially reported on March 20, 2025, and last modified on October 15, 2025. The issue specifically affects the application's handling of tenant IDs and multiple endpoints including /v1/system/tokenlist, /v1/system/newtoken, /v1/api/tokenlist, /v1/api/newtoken, and /v1/api/rm (NVD).

Détails techniques

The vulnerability stems from improper authorization controls in the tenant ID handling mechanism. When users have access to multiple tenants, they can manipulate their tenant access to query and access API tokens of other tenants. The vulnerability has received varying CVSS scores, with the NVD assigning a CVSS 3.1 Base Score of 6.5 (MEDIUM) with vector CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N, while huntr.dev assessed it at 8.1 (HIGH) with vector CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H. The vulnerability is classified under CWE-639 (Authorization Bypass Through User-Controlled Key) (NVD, Huntr).

Impact

The vulnerability enables attackers to access other tenants' API tokens, perform actions on behalf of other tenants, and access their data. This represents a significant security breach in multi-tenant environments, potentially compromising data confidentiality and tenant isolation (NVD).

Atténuation et solutions de contournement

No specific mitigation strategies or patches have been publicly disclosed at this time. Organizations using RAGFlow-0.13.0 should monitor for updates from the vendor and consider implementing additional access controls and tenant isolation mechanisms (NVD).

Ressources additionnelles

Source: Ce rapport a été généré à l’aide de l’IA

Apparenté WordPress Vulnérabilités:

Identifiant CVE	Sévérité	Score	Technologies	Nom du composant	Exploit CISA KEV	A corrigé	Date de publication
CVE-2025-12880	MEDIUM	5.4	WordPress	progressmatify-blocks	Non	Non	Nov 11, 2025
CVE-2025-12953	MEDIUM	4.3	WordPress	classified-listing	Non	Oui	Nov 11, 2025
CVE-2025-11855	N/A	N/A	WordPress	age-restriction	Non	Non	Nov 11, 2025
CVE-2025-11307	N/A	N/A	WordPress	wp-google-maps	Non	Oui	Nov 11, 2025
CVE-2025-11237	N/A	N/A	WordPress	make-email-customizer-for-woocommerce	Non	Non	Nov 11, 2025

Évaluation gratuite des vulnérabilités

Évaluez votre posture de sécurité dans le cloud

Évaluez vos pratiques de sécurité cloud dans 9 domaines de sécurité pour évaluer votre niveau de risque et identifier les failles dans vos défenses.

Demander une évaluation

Ressources Wiz supplémentaires

PEACH

Un cadre d’isolation des locataires

Obtenez une démo personnalisée

Prêt(e) à voir Wiz en action ?

"La meilleure expérience utilisateur que j’ai jamais vue, offre une visibilité totale sur les workloads cloud."

David EstlickRSSI

"Wiz fournit une interface unique pour voir ce qui se passe dans nos environnements cloud."

Adam FletcherChef du service de sécurité

"Nous savons que si Wiz identifie quelque chose comme critique, c’est qu’il l’est réellement."

Greg PoniatowskiResponsable de la gestion des menaces et des vulnérabilités

Demander une démo

CVE-2025-12880: WordPress Analyse et atténuation des vulnérabilités