平台
wordpress
组件
javo-core
修复版本
3.0.1
CVE-2025-0177 是 WordPress Javo Core 插件中的一个严重权限提升漏洞。该漏洞允许未经身份验证的攻击者通过创建具有管理员角色的新帐户来获得提升的权限,从而完全控制网站。此漏洞影响所有版本,包括 3.0.0.080 及更早版本。建议立即采取措施修复此漏洞。
此漏洞的影响非常严重,攻击者可以利用它完全控制受影响的 WordPress 网站。他们可以访问和修改所有数据,安装恶意软件,并进行其他破坏性活动。攻击者可以利用此漏洞窃取敏感信息,例如用户凭据、财务数据和商业机密。此外,攻击者还可以利用此漏洞作为跳板,攻击网络中的其他系统。由于该漏洞允许未经身份验证的攻击者获得管理员权限,因此其潜在影响范围非常广泛。
该漏洞已公开披露,并且可能存在公开的利用程序。目前尚无关于该漏洞正在被积极利用的可靠报告,但由于其严重性和易于利用,建议尽快采取措施修复此漏洞。该漏洞已添加到 CISA KEV 目录中,表明其潜在风险较高。
WordPress websites using the Javo Core plugin, particularly those with default or weak security configurations, are at significant risk. Shared hosting environments where multiple websites share the same server infrastructure are also vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
wp plugin list | grep javo-core• wordpress / composer / npm:
wp plugin update javo-core --all• wordpress / composer / npm:
wp plugin status javo-core• wordpress / composer / npm:
wp user list --field=role• wordpress / composer / npm:
wp user search --role=administratordisclosure
漏洞利用状态
EPSS
0.73% (73% 百分位)
CISA SSVC
CVSS 向量
修复此漏洞的最佳方法是升级到 Javo Core 插件的修复版本。如果无法立即升级,可以实施一些缓解措施来降低风险。首先,禁用允许用户在注册时设置其角色的功能。其次,实施严格的用户权限控制,确保只有授权用户才能访问敏感数据和功能。最后,定期审查用户帐户和权限,以识别和删除任何未经授权的访问。升级后,请验证新版本是否已成功安装并已修复漏洞。
将 Javo Core 插件更新到已修复的版本。该漏洞允许未经身份验证的用户分配管理员角色,因此应用更新以降低权限提升的风险至关重要。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-0177 是 WordPress Javo Core 插件中的一个严重漏洞,允许未经身份验证的攻击者通过创建具有管理员角色的新帐户来获得提升的权限。
如果您正在使用 Javo Core 插件 3.0.0.080 及更早版本,则您可能受到此漏洞的影响。
最佳修复方法是升级到 Javo Core 插件的修复版本。如果无法升级,请禁用允许用户在注册时设置其角色的功能。
目前尚无关于该漏洞正在被积极利用的可靠报告,但由于其严重性和易于利用,建议尽快采取措施修复此漏洞。
请访问 Javo Core 插件的官方网站或 WordPress 插件目录,以获取有关此漏洞的官方公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。