平台
wordpress
组件
wp-foodbakery
修复版本
4.7.1
CVE-2025-0180 是 WP Foodbakery WordPress 插件中发现的权限提升漏洞。该漏洞允许未经身份验证的攻击者通过注册用户并修改用户元数据,绕过身份验证机制,从而获得管理员权限。该漏洞影响 WP Foodbakery 插件的 0.0.0 至 4.7 版本。建议用户尽快升级到修复版本或采取缓解措施以降低风险。
该漏洞的影响非常严重,攻击者可以利用它完全控制受影响的 WordPress 网站。攻击者可以创建新的管理员账户,修改网站内容,安装恶意插件,甚至窃取敏感数据。由于 WordPress 广泛使用,该漏洞可能影响大量网站,造成广泛的安全风险。攻击者可以利用此漏洞进行数据泄露、网站篡改、恶意软件传播等活动,对网站运营者和用户造成重大损失。该漏洞的严重性与未经身份验证的管理员权限提升直接相关。
该漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,预计未来可能会出现利用案例。建议密切关注安全社区的动态,及时获取最新的威胁情报。该漏洞尚未被添加到 CISA KEV 目录。
Websites using the WP Foodbakery plugin, particularly those with open user registration enabled, are at significant risk. Shared hosting environments where plugin updates are not managed by the website owner are also especially vulnerable. Sites relying on WP Foodbakery for critical functionality or storing sensitive user data face the highest potential impact.
• wordpress / composer / npm:
grep -r 'update_user_meta' /var/www/html/wp-content/plugins/wp-foodbakery/• wordpress / composer / npm:
wp plugin list --status=all | grep wp-foodbakery• wordpress / composer / npm:
wp plugin update wp-foodbakery --alldisclosure
漏洞利用状态
EPSS
0.43% (62% 百分位)
CISA SSVC
CVSS 向量
缓解此漏洞的首要措施是立即升级 WP Foodbakery 插件到修复版本。如果无法立即升级,可以考虑以下临时缓解措施:限制用户注册时可修改的用户元数据字段,实施更严格的身份验证机制,例如双因素身份验证。此外,定期审查用户账户,删除可疑账户。监控 WordPress 网站的日志文件,查找异常活动。如果使用 Web 应用防火墙 (WAF),配置规则以阻止恶意注册请求。
将 WP Foodbakery 插件更新到最新可用版本以缓解权限提升漏洞。在更新任何插件之前,请务必对您的网站进行完整备份。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-0180 是 WP Foodbakery WordPress 插件中的一个安全漏洞,允许未经身份验证的攻击者通过注册用户并修改用户元数据,提升至管理员权限。
如果您正在使用 WP Foodbakery 插件的 0.0.0 至 4.7 版本,则可能受到此漏洞的影响。请立即检查您的插件版本。
建议立即升级 WP Foodbakery 插件到修复版本。如果无法升级,请采取临时缓解措施,例如限制用户注册时可修改的用户元数据。
目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,预计未来可能会出现利用案例。
请访问 WP Foodbakery 官方网站或 WordPress 插件目录,查找关于 CVE-2025-0180 的官方公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。