ITCOW牛新网 5月21日消息,据科技媒体 BleepingComputer 今日报道,WordPress 高级主题 Motors 被曝存在高危提权漏洞(编号 CVE-2025-4322),攻击者可在未经身份验证的情况下接管管理员账户,进而全面控制受害网站。
该漏洞由网络安全公司 Wordfence 首先披露,漏洞评分达到CVSS 9.8 分(满分 10 分),属于极高危等级。漏洞源于 Motors 主题在执行用户密码更新流程时未正确验证身份,导致攻击者可伪造请求、随意更改任意用户密码,包括站点管理员,从而实现权限提升。
Motors 主题由 StylemixThemes 开发,专为汽车经销、车辆租赁、二手车销售等行业打造,拥有超 22,300 份销量,在 Envato 市场口碑良好、应用广泛。其深度集成车辆展示、库存管理、预约系统等功能,是众多车商网站的首选。
漏洞影响范围:
- 受影响版本:Motors 5.6.67 及以下所有版本
- 漏洞编号:CVE-2025-4322
- 漏洞危害:
- 非授权接管管理员账户
- 可植入恶意代码,执行任意命令
- 访问并窃取敏感数据库内容
- 将访客重定向至钓鱼或恶意网站
官方修复:
StylemixThemes 于2025 年 5 月 14 日发布 5.6.68 版本,修复该安全漏洞。用户可通过 WordPress 后台、Envato Market 插件或 FTP 手动上传完成升级。厂商也提供了详细的更新指南,并强烈建议在更新前备份全站数据。
安全专家建议:
- 立即升级至 Motors 5.6.68 或更高版本
- 若短期内无法更新,建议暂时禁用 Motors 主题相关功能插件
- 启用两步验证、限制管理面板访问、防止暴力破解
- 定期扫描网站是否存在后门或恶意脚本
Motors 主题漏洞再次提醒广大 WordPress 用户:主题与插件安全与核心系统同等重要,必须保持及时更新,以防网站成为攻击者的“跳板”。