漏洞概述
WordPress 插件 “Custom Fonts – Host Your Fonts Locally” 在 2.1.16 及之前版本中存在安全漏洞。由于在 BCF_Google_Fonts_Compatibility 类的构造函数中缺少权限检查,未经身份验证的攻击者可远程删除字体目录并重写 theme.json 文件,造成数据丢失或网站配置异常。
漏洞详情
- CVE 编号:CVE-2025-14351
- 漏洞类型:缺少授权检查(CWE-862:Missing Authorization)
- CVSS 评分:5.3(中危),向量:CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
- 影响版本:Custom Fonts – Host Your Fonts Locally 插件 ≤ 2.1.16
影响范围
所有使用 WordPress Custom Fonts 插件且版本在 2.1.16 及以下的站点均受影响。该插件用于本地托管自定义字体,广泛应用于需要优化 Google Fonts 加载性能的 WordPress 网站。
风险分析
攻击者无需任何身份认证即可触发漏洞,通过构造特定请求删除插件管理的字体目录,并覆盖主题的 theme.json 文件。虽然不直接导致远程代码执行,但可能破坏网站样式、导致前端显示异常,甚至被用于进一步的持久化攻击(如篡改主题配置)。完整性影响为“低”,但对可用性和维护成本构成实际威胁。
修复建议
- 立即升级 Custom Fonts 插件至 2.1.17 或更高版本,官方已在该版本中修复权限校验问题。
- 若暂时无法升级,建议临时禁用该插件,或通过 Web 应用防火墙(WAF)规则拦截对相关类文件的异常访问(如包含
class-bcf-google-fonts-compatibility.php的请求)。
