IT之家于5月21日传来消息,科技资讯平台bleepingcomputer在当日发布了一篇博文,揭露了WordPress高级主题Motors存在权限提升的安全漏洞,任何未经身份验证的攻击者都能利用这一漏洞,从而接管管理员账户,实现对网站的全面操控。
IT之家通过查阅公开信息得知,Motors主题是一款专为汽车行业设计的WordPress高级主题,由StylemixThemes公司负责开发。这款主题备受汽车经销商、租赁企业和二手车交易平台喜爱。据数据统计,在Envato平台上,该主题的销量已经超过了22300份,并且拥有一个活跃的用户社群以及数千条用户评论。
网络安全企业Wordfence在博文中揭示了该主题存在一个严重的权限提升缺陷,该缺陷的编号为CVE-2025-4322。CVSS漏洞评分为9.8分,满分是10分,这表明风险极高。问题在于主题在更新用户密码时未能严格核实用户身份,这使得未经授权的攻击者得以随意更改包括管理员在内的任何用户的密码,从而实现对账户的控制。
一旦攻击者获得管理员权限,他们便能够成功植入恶意软件,同时窃取数据库中的数据以及用户的敏感信息,更严重的是,他们还能将访问者的浏览路径引导至存在安全隐患的网站。
漏洞影响到了 Motors 主题的5.6.67及以下所有版本。StylemixThemes迅速作出反应,并于2025年5月14日发布了5.6.68版本,全面解决了该问题。
WordPress主题作为网站的关键组成部分,其停用或更换并非易事,故专业人士极力推荐用户及时更新至最新版。厂商已提供详尽的更新手册,指导用户可通过WordPress控制台、Envato API或FTP进行手动更新,并特别提示用户在操作前务必备份网站,以避免数据丢失的风险。
