IT之家于5月21日传来消息,科技资讯平台bleepingcomputer于同日发布了一篇博文,揭露了WordPress高级主题Motors存在权限提升的安全隐患,任何未经身份验证的攻击者均能利用这一漏洞,从而实现对管理员账户的劫持,进而全面掌控网站。
IT之家通过查阅公开信息发现,Motors 主题是一款专门针对汽车行业的WordPress高级模板,由StylemixThemes团队打造。这款主题颇受汽车经销商、租赁企业和二手车交易平台的热捧。据数据统计,在Envato平台上的销量已经突破了22300份,并且拥有一个活跃的用户群体以及数千条用户评论。
网络安全企业Wordfence在其博文中揭示了该主题所隐藏的严重权限提升缺陷,漏洞编号为CVE-2025-4322。该漏洞的CVSS评分高达9.8分,满分10分,意味着风险极高。问题根源在于主题在更新用户密码时未能严格核实用户身份,这使得未经授权的攻击者得以轻易更改包括管理员在内的任何用户的密码,从而实现对账户的控制。
一旦攻击者夺得管理员权限,他们便能够植入恶意程序,盗取数据库中的数据以及用户的隐私信息,甚至有可能将用户引导至不安全的网页。
Motors 主题的5.6.67及以下各版本均受到漏洞影响。StylemixThemes对此做出了快速反应,并于2025年5月14日发布了5.6.68版本,成功解决了该问题。
WordPress主题作为网站的关键构成部分,其停用或更换并不简单,鉴于此,专业人士极力推荐用户尽快升级到最新版本。厂商已提供详尽的更新指导,支持用户通过WordPress控制面板、Envato API或FTP手动进行更新,并特别提醒用户在操作前务必备份网站,以避免数据遗失的风险。
