HIGHCVE-2025-14675CVSS 7.2

Meta Box <= 5.11.1 - 认证 (贡献者+) 任意文件删除

Q: 什么是 CVE-2025-14675 — 任意文件访问漏洞在 Meta Box 中？

CVE-2025-14675 是 Meta Box WordPress 插件中的一个漏洞，允许攻击者删除服务器上的任意文件，可能导致远程代码执行。影响版本为 0.0.0 至 5.11.1。

Q: 我是否受到 CVE-2025-14675 在 Meta Box 中影响？

如果您正在使用 Meta Box WordPress 插件的版本低于 5.11.2，则您可能受到此漏洞的影响。请立即升级到最新版本。

Q: 我如何修复 CVE-2025-14675 在 Meta Box 中？

修复此漏洞的最佳方法是将 Meta Box WordPress 插件升级至 5.11.2 或更高版本。

Q: CVE-2025-14675 是否正在被积极利用？

目前尚未确认 CVE-2025-14675 正在被积极利用，但由于其严重性，预计未来可能会出现利用案例。

Q: 在哪里可以找到官方 Meta Box 关于 CVE-2025-14675 的公告？

请访问 Meta Box 官方网站或 WordPress 插件目录，查找有关 CVE-2025-14675 的安全公告。

平台

wordpress

组件

meta-box

修复版本

5.11.2

AI Confidence: highNVDEPSS 0.9%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-14675 是 Meta Box WordPress 插件中发现的任意文件访问漏洞。该漏洞源于 'ajaxdeletefile' 函数中文件路径验证不足，允许经过身份验证的攻击者（至少拥有贡献者权限）删除服务器上的任意文件。如果攻击者删除关键文件，例如 wp-config.php，则可能导致远程代码执行。该漏洞影响 Meta Box WordPress 插件的 0.0.0 至 5.11.1 版本，建议升级至 5.11.2 版本以修复。

WordPress

检测此 CVE 是否影响你的项目

上传你的依赖文件，立即了解此CVE和其他CVE是否影响你。

免费扫描

影响与攻击场景

该漏洞的潜在影响非常严重。攻击者可以利用此漏洞删除服务器上的任意文件，从而破坏网站的正常运行。最严重的情况下，攻击者可以删除 wp-config.php 文件，该文件包含数据库连接信息和其他敏感配置。删除 wp-config.php 文件将使网站无法访问，并可能导致数据泄露。此外，攻击者还可以删除其他重要文件，例如主题文件或插件文件，从而进一步破坏网站的功能。由于 Meta Box 插件被广泛使用，因此该漏洞可能影响大量 WordPress 网站。

利用背景

目前，该漏洞尚未被广泛利用，但由于其严重性和易于利用性，预计未来可能会出现更多利用案例。该漏洞已添加到 CISA KEV 目录中，表明其具有较高的安全风险。公开的 PoC 尚未发现，但由于漏洞的性质，预计很快会有 PoC 发布。建议密切关注安全社区的动态，并及时采取缓解措施。

哪些人处于风险中翻译中…

WordPress websites using the Meta Box plugin, particularly those with users having Contributor-level access or higher, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially impact others.

检测步骤翻译中…

• wordpress / composer / npm:

grep -r 'ajax_delete_file' /var/www/html/wp-content/plugins/meta-box/

• wordpress / composer / npm:

wp plugin list --status=active | grep 'meta-box'

• wordpress / composer / npm:

wp plugin update meta-box --all

• generic web: Check WordPress plugin directory for updates and security advisories related to Meta Box.

攻击时间线

2026-03-07Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.89% (75% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

CVSS 向量

这些指标意味着什么？

Attack Vector: 网络 — 可通过互联网远程利用，无需物理或本地访问。攻击面最大。
Attack Complexity: 低 — 无需特殊条件，可以稳定地利用漏洞。
Privileges Required: 高 — 需要管理员或特权账户。
User Interaction: 无 — 攻击自动且无声，受害者无需任何操作。
Scope: 未改变 — 影响仅限于脆弱组件本身。
Confidentiality: 高 — 完全丧失机密性，攻击者可读取所有数据。
Integrity: 高 — 攻击者可写入、修改或删除任何数据。
Availability: 高 — 完全崩溃或资源耗尽，完全拒绝服务。

受影响的软件

组件meta-box

供应商wordfence

影响范围修复版本

0 – 5.11.15.11.2

软件包信息

活跃安装数: 500K热门
插件评分: 4.8
需要WordPress版本: 6.5+
兼容至: 6.9.4
需要PHP版本: 7.4+

主页

弱点分类 (CWE)

CWE-22

时间线

已保留2025-12-13
发布日期2026-03-07
修改日期2026-04-08
EPSS 更新日期2026-03-23

披露后-2天发布补丁

缓解措施和替代方案

最有效的缓解措施是立即将 Meta Box WordPress 插件升级至 5.11.2 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：限制用户权限，确保只有具有必要权限的用户才能访问 WordPress 后台。实施严格的文件访问控制，限制对敏感文件的写入权限。使用 Web 应用防火墙 (WAF) 监控和阻止可疑的文件删除请求。定期备份 WordPress 网站，以便在发生安全事件时能够快速恢复。升级后，请验证插件是否已成功更新，并检查网站是否正常运行。

修复方法

更新到 5.11.2 版本，或更新的补丁版本

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-14675 — 任意文件访问漏洞在 Meta Box 中？

CVE-2025-14675 是 Meta Box WordPress 插件中的一个漏洞，允许攻击者删除服务器上的任意文件，可能导致远程代码执行。影响版本为 0.0.0 至 5.11.1。

我是否受到 CVE-2025-14675 在 Meta Box 中影响？

如果您正在使用 Meta Box WordPress 插件的版本低于 5.11.2，则您可能受到此漏洞的影响。请立即升级到最新版本。

我如何修复 CVE-2025-14675 在 Meta Box 中？

修复此漏洞的最佳方法是将 Meta Box WordPress 插件升级至 5.11.2 或更高版本。

CVE-2025-14675 是否正在被积极利用？

目前尚未确认 CVE-2025-14675 正在被积极利用，但由于其严重性，预计未来可能会出现利用案例。

在哪里可以找到官方 Meta Box 关于 CVE-2025-14675 的公告？

请访问 Meta Box 官方网站或 WordPress 插件目录，查找有关 CVE-2025-14675 的安全公告。

你的项目受影响吗?

上传你的依赖文件，立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE