漏洞概述
热门 WordPress 插件 Eventin 近日曝出严重权限提升漏洞(CVE-2025-47539),导致超过 10,000 个网站面临完全被控制的风险。该漏洞允许未认证攻击者无需用户交互即可创建管理员账户,从而完全掌控受影响网站。安全研究人员强烈建议用户立即升级至 4.0.27 版本,该版本已包含针对此关键漏洞的修复补丁。
影响范围
由 Themewinter 开发的 Eventin 插件被广泛用于 WordPress 网站的活动管理功能。由于该插件在数千个网站中的广泛部署,使得该漏洞影响尤为严重。成功利用此漏洞可能导致网站篡改、数据窃取、恶意软件注入,或被用于更大规模的僵尸网络攻击。
技术细节
Patchstack 研究人员发现,漏洞源于 Eventin 插件中处理演讲者导入功能的 REST API 端点存在安全缺陷。该漏洞最初由安全研究员 Denver Jackson 于 2025 年 4 月 19 日通过 Patchstack 零日漏洞赏金计划报告,并因此获得 600 美元奖励。
漏洞的核心问题在于import_item_permissions_check ()函数仅简单返回true而未执行任何实际权限验证:
public function import_item_permissions_check ($request) { return true; }
这种实现方式允许任何未认证用户访问该端点。结合处理导入用户数据时缺乏角色验证的缺陷,攻击者可以提交包含管理员角色指定的 CSV 文件:
$args = [ 'first_name' => !empty ($row['name']) ? $row['name'] : '', // 其他用户详情... 'role' => !empty ($row['role']) ? $row['role'] : '', ];
修复方案
Themewinter 已在 2025 年 4 月 30 日发布的 4.0.27 版本中修复该漏洞,通过实施适当的权限检查并限制用户导入期间允许的角色:
public function import_item_permissions_check ($request) { return current_user_can ('etn_manage_organizer') || current_user_can ('etn_manage_event'); }
安全专家强烈建议使用 Eventin 插件的 WordPress 网站管理员立即升级至 4.0.27 或更高版本。无法立即升级的用户应考虑暂时禁用该插件,由于此漏洞无需认证即可利用,其在野利用风险极高。
参考来源:
Critical WordPress Plugin Vulnerability Exposes 10K+ Sites to Cyber Attack
