| CVE編號 | CVE-2025-13536,CVE-2025-13538,CVE-2025-13539,CVE-2025-13540,CVE-2025-13615,CVE-2025-13675 |
|---|---|
| 影響產品 | WordPress擴充程式與網頁主題 |
| 解決辦法 | 更新Blubrry PowerPress至11.15.3(含)以後版本 更新FindAll Listing至1.1(含)以後版本 更新FindAll Membership至1.1(含)以後版本 更新Tiare Membership至1.3(含)以後版本 更新StreamTube Core至4.79(含)以前後版本 Tiger網頁主題請參考官方說明採取必要措施,網址如下: https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-themes/tiger-2/tiger-10121-unauthenticated-privilege-escalation |
| 張貼日 | 2025-12-08 |
| 上稿單位 | TWCERT/CC |
- 內容說明
研究人員發現WordPress擴充程式與網頁主題存在6個高風險安全漏洞,請儘速確認並進行修補。
1. Blubrry PowerPress擴充程式存在任意檔案上傳(Arbitrary File Upload)漏洞(CVE-2025-13536),取得一般權限之遠端攻擊者可於受影響網頁伺服器上傳並執行網頁後門程式,進而達成遠端執行任意程式碼。
2. FindAll Listing與Tiare Membership擴充程式及Tiger網頁主題存在權限提升(Privilege Escalation)漏洞(CVE-2025-13538、CVE-2025-13540及CVE-2025-13675),未經身分鑑別之遠端攻擊可於註冊時指定管理者角色,進而利用漏洞取得網站管理員權限。
3. FindAll Membership擴充程式存在身分鑑別繞過(Authentication Bypass)漏洞(CVE-2025-13539),未經身分鑑別之遠端攻擊者於取得一般使用者帳號且能存取管理員電子郵件之情況下,可以管理員身分登入系統。
4. StreamTube Core擴充程式存在任意使用者密碼變更(Arbitrary User Password Change)漏洞(CVE-2025-13615),未經身分鑑別之遠端攻擊者可任意變更網站使用者密碼,進而取得管理員帳號權限。
- 影響平台
Blubrry PowerPress 11.15.2(含)以前版本
FindAll Listing 1.0.5(含)以前版本
FindAll Membership 1.0.4(含)以前版本
Tiare Membership 1.2(含)以前版本
StreamTube Core 4.78(含)以前版本
Tiger網頁主題 101.2.1(含)以前版本