HIGHCVE-2025-67963CVSS 8.6

WordPress Movie Booking 插件 <= 1.1.5 - 任意文件删除漏洞

Q: 什么是CVE-2025-67963 — 路径遍历漏洞在ovatheme Movie Booking中？

CVE-2025-67963描述了ovatheme Movie Booking插件中存在的路径遍历漏洞，允许攻击者访问服务器上的任意文件。

Q: 我是否受到CVE-2025-67963在ovatheme Movie Booking中影响？

如果您正在使用ovatheme Movie Booking插件的版本在0.0.0到1.1.5之间，则您可能受到此漏洞的影响。

Q: 我如何修复CVE-2025-67963在ovatheme Movie Booking中？

将ovatheme Movie Booking插件升级到1.1.6版本或更高版本以修复此漏洞。

Q: CVE-2025-67963是否正在被积极利用？

目前尚未公开发现针对此漏洞的利用代码，但存在被利用的风险。

Q: 在哪里可以找到官方ovatheme Movie Booking针对CVE-2025-67963的公告？

请访问ovatheme官方网站或WordPress插件目录，查找有关CVE-2025-67963的公告。

平台

wordpress

组件

movie-booking

修复版本

1.1.6

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-67963描述了ovatheme Movie Booking插件中的路径遍历漏洞。该漏洞允许未经授权的攻击者访问受限制目录中的任意文件，可能导致敏感信息泄露。该漏洞影响版本从0.0.0到1.1.5。建议立即升级到1.1.6版本以解决此问题。

WordPress

检测此 CVE 是否影响你的项目

上传你的依赖文件，立即了解此CVE和其他CVE是否影响你。

免费扫描

影响与攻击场景

攻击者可以利用此路径遍历漏洞访问服务器上的任意文件，只要他们能够构造有效的请求。这可能包括读取配置文件、源代码、数据库备份或其他包含敏感信息的私有文件。如果服务器上存储了用户数据，攻击者可能能够访问这些数据，造成严重的隐私泄露。此外，攻击者可能能够利用此漏洞修改或删除文件，从而破坏系统的完整性。由于该漏洞允许访问服务器上的任意文件，因此其潜在影响范围非常广泛。

利用背景

目前尚未公开发现针对此漏洞的利用代码，但由于路径遍历漏洞的普遍性，存在被利用的风险。该漏洞已于2026年1月22日公开披露。建议密切关注安全社区的动态，以获取有关此漏洞的最新信息。

哪些人处于风险中翻译中…

WordPress websites utilizing the Ovatheme Movie Booking plugin, particularly those running versions 0.0.0 through 1.1.5, are at risk. Shared hosting environments where users have limited control over plugin installations are especially vulnerable, as are sites with default or weak file permissions.

检测步骤翻译中…

• wordpress / composer / npm:

grep -r '../' /var/www/html/wp-content/plugins/movie-booking/*

• generic web:

curl -I 'http://your-wordpress-site.com/wp-content/plugins/movie-booking/../../../../etc/passwd'

• wordpress / composer / npm:

wp plugin list --status=inactive | grep movie-booking

攻击时间线

2026-01-22Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.02% (5% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响partial

CVSS 向量

这些指标意味着什么？

Attack Vector: 网络 — 可通过互联网远程利用，无需物理或本地访问。攻击面最大。
Attack Complexity: 低 — 无需特殊条件，可以稳定地利用漏洞。
Privileges Required: 无 — 无需认证，无需凭证即可利用。
User Interaction: 无 — 攻击自动且无声，受害者无需任何操作。
Scope: 已改变 — 攻击可以超出脆弱组件，影响其他系统。
Confidentiality: 无 — 无机密性影响。
Integrity: 无 — 无完整性影响。
Availability: 高 — 完全崩溃或资源耗尽，完全拒绝服务。

受影响的软件

组件movie-booking

供应商wordfence

影响范围修复版本

0 – 1.1.51.1.6

弱点分类 (CWE)

CWE-22

时间线

已保留2025-12-15
发布日期2026-01-22
修改日期2026-04-28
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是立即将ovatheme Movie Booking插件升级到1.1.6版本或更高版本。如果升级会导致系统不稳定，可以考虑回滚到之前的版本，但请注意这只是临时解决方案。此外，可以配置Web应用防火墙（WAF）或反向代理服务器，以阻止包含恶意路径遍历模式的请求。例如，可以设置规则来过滤包含“../”或“..”的请求。定期审查插件的配置，确保其安全性。

修复方法

更新到 1.1.6 版本，或更新的修复版本

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是CVE-2025-67963 — 路径遍历漏洞在ovatheme Movie Booking中？

CVE-2025-67963描述了ovatheme Movie Booking插件中存在的路径遍历漏洞，允许攻击者访问服务器上的任意文件。

我是否受到CVE-2025-67963在ovatheme Movie Booking中影响？

如果您正在使用ovatheme Movie Booking插件的版本在0.0.0到1.1.5之间，则您可能受到此漏洞的影响。

我如何修复CVE-2025-67963在ovatheme Movie Booking中？

将ovatheme Movie Booking插件升级到1.1.6版本或更高版本以修复此漏洞。

CVE-2025-67963是否正在被积极利用？

目前尚未公开发现针对此漏洞的利用代码，但存在被利用的风险。

在哪里可以找到官方ovatheme Movie Booking针对CVE-2025-67963的公告？

请访问ovatheme官方网站或WordPress插件目录，查找有关CVE-2025-67963的公告。

你的项目受影响吗?

上传你的依赖文件，立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE