近日,WordPress热门汽车主题Motors被发现存在严重的权限提升漏洞,允许未经身份验证的攻击者劫持管理员账户并完全控制网站。据悉,此主题由StylemixThemes开发,广泛应用于汽车经销商、租赁服务和二手车平台等。漏洞编号为CVE-2025-4322,Wordfence于今日公开披露,并已加入国家漏洞数据库。
Motors主题的所有版本,直到5.6.67均受到影响。漏洞源于主题没有在更新用户密码前正确验证用户身份,使得攻击者可以修改任意用户密码,包括管理员密码,从而获取账户访问权限。攻击者可通过获得管理员权限植入恶意软件、提取数据库内容和敏感成员信息,或将访客重定向至危险网站。
StylemixThemes已于2025年5月14日发布Motors版本5.6.68,修复了该漏洞。考虑到WordPress主题对网站的重要性,建议用户尽快升级至最新版本。