IT之家 5 月 21 日消息,科技媒体 bleepingcomputer 今天(5 月 21 日)发布博文,报道称 WordPress 高级主题 Motors 被发现提权漏洞,未经身份验证的攻击者可利用该漏洞劫持管理员账户,完全控制网站。
IT之家查询公开资料,Motors 主题是一款面向汽车行业的 WordPress 高级主题,由 StylemixThemes 开发,深受车商、租赁公司及二手车平台青睐。据统计,该主题在 Envato 市场销量已超 22300 份,拥有活跃用户社区和数千条评论。
网络安全公司 Wordfence 发布博文,披露该主题存在严重权限提升漏洞,编号为 CVE-2025-4322,CVSS 漏洞得分为 9.8 分(满分 10 分,分数越高,代表危险程度越大),源于主题在更新用户密码前未严格验证身份,导致未经授权的攻击者能随意修改包括管理员在内的任意用户密码,进而接管账户。
攻击者一旦获取管理员权限,可植入恶意软件、窃取数据库内容和敏感用户信息,甚至将访客重定向至危险网站。
漏洞影响 Motors 主题 5.6.67 及以下所有版本。StylemixThemes 已迅速响应,于 2025 年 5 月 14 日推出 5.6.68 版本,彻底修复了这一问题。
WordPress 主题是网站核心组件,无法轻易停用或替换,因此专家强烈建议用户尽快升级至最新版本。厂商提供了详细的更新指南,支持通过 WordPress 面板、Envato API 或 FTP 手动更新,同时提醒用户在操作前备份网站,以防数据丢失。
