WordPress擴充程式與網頁主題存在6個安全漏洞
- 發布單位:TWCERT/CC
- 更新日期:2025-12-12
- 點閱次數:66
- 內容說明
研究人員發現WordPress擴充程式與網頁主題存在6個高風險安全漏洞,請儘速確認並進行修補。
1. Blubrry PowerPress擴充程式存在任意檔案上傳(Arbitrary File Upload)漏洞(CVE-2025-13536),取得一般權限之遠端攻擊者可於受影響網頁伺服器上傳並執行網頁後門程式,進而達成遠端執行任意程式碼。
2. FindAll Listing與Tiare Membership擴充程式及Tiger網頁主題存在權限提升(Privilege Escalation)漏洞(CVE-2025-13538、CVE-2025-13540及CVE-2025-13675),未經身分鑑別之遠端攻擊可於註冊時指定管理者角色,進而利用漏洞取得網站管理員權限。
3. FindAll Membership擴充程式存在身分鑑別繞過(Authentication Bypass)漏洞(CVE-2025-13539),未經身分鑑別之遠端攻擊者於取得一般使用者帳號且能存取管理員電子郵件之情況下,可以管理員身分登入系統。
4. StreamTube Core擴充程式存在任意使用者密碼變更(Arbitrary User Password Change)漏洞(CVE-2025-13615),未經身分鑑別之遠端攻擊者可任意變更網站使用者密碼,進而取得管理員帳號權限。
- 影響平台
Blubrry PowerPress 11.15.2(含)以前版本
FindAll Listing 1.0.5(含)以前版本
FindAll Membership 1.0.4(含)以前版本
Tiare Membership 1.2(含)以前版本
StreamTube Core 4.78(含)以前版本
Tiger網頁主題 101.2.1(含)以前版本
- 處置建議
更新Blubrry PowerPress至11.15.3(含)以後版本
更新FindAll Listing至1.1(含)以後版本
更新FindAll Membership至1.1(含)以後版本
更新Tiare Membership至1.3(含)以後版本
更新StreamTube Core至4.79(含)以前後版本
Tiger網頁主題請參考官方說明採取必要措施,網址如下:
https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-themes/tiger-2/tiger-10121-unauthenticated-privilege-escalation
- CVE編號
CVE-2025-13536
CVE-2025-13538
CVE-2025-13539
CVE-2025-13540
CVE-2025-13615
CVE-2025-13675
相關連結
- CVE-2025-13536
- CVE-2025-13538
- CVE-2025-13539
- CVE-2025-13540
- CVE-2025-13615
- CVE-2025-13675
- Blubrry PowerPress <= 11.15.2 - Authenticated (Contributor+) Arbitrary File Upload via 'powerpress_e
- FindAll Listing <= 1.0.5 - Unauthenticated Privilege Escalation
- FindAll Membership <= 1.0.4 - Authentication Bypass via Social Login
- Tiare Membership <= 1.2 - Unauthenticated Privilege Escalation
- StreamTube Core <= 4.78 - Unauthenticated Arbitrary User Password Change
- Tiger <= 101.2.1 - Unauthenticated Privilege Escalation