CVE-2025-12981 描述了 WordPress Listee 主题中的一个权限提升漏洞。该漏洞源于 listee-core 插件的注册功能中对 user_role 参数的验证不足,攻击者可以利用此缺陷以未经身份验证的方式注册为管理员。此漏洞影响 Listee 主题版本 1.0.0 至 1.1.6。建议立即升级至 1.1.7 版本以消除此风险。
此漏洞的潜在影响非常严重。攻击者可以利用此漏洞绕过身份验证机制,直接以管理员权限控制受影响的 WordPress 站点。这意味着攻击者可以完全控制网站内容、用户账户、插件配置,甚至可以执行恶意代码。攻击者可以窃取敏感数据,篡改网站内容,进行钓鱼攻击,或将网站用作恶意软件传播的平台。由于 WordPress 广泛使用,该漏洞可能影响大量网站,造成广泛的安全风险。
此漏洞已公开披露,且 CVSS 评分为严重级别。目前尚未发现公开的利用程序,但由于漏洞的严重性和易利用性,预计未来可能会出现利用程序。建议密切关注安全社区的动态,及时采取应对措施。该漏洞尚未被添加到 CISA KEV 目录。
Websites using the Listee WordPress theme, particularly those running vulnerable versions (1.0.0–1.1.6), are at significant risk. Shared hosting environments where multiple websites share the same server are also at increased risk, as a compromise on one site could potentially lead to lateral movement to others. Sites with weak password policies or disabled user registration are especially vulnerable.
• wordpress / composer / npm:
wp plugin list | grep listee-core• wordpress / composer / npm:
wp plugin update listee-core --version=1.1.7• wordpress / composer / npm:
grep -r 'user_role' /var/www/html/wp-content/plugins/listee-core/• generic web: Check WordPress plugin directory for mentions of the vulnerability and associated indicators.
disclosure
漏洞利用状态
EPSS
0.02% (6% 百分位)
CISA SSVC
最有效的缓解措施是立即将 Listee WordPress 主题升级至 1.1.7 版本或更高版本。如果无法立即升级,可以考虑暂时禁用 Listee 主题,并使用其他主题替代。此外,可以实施严格的用户权限管理策略,限制用户可以执行的操作。如果使用 WAF,可以配置规则以阻止包含恶意 user_role 参数的注册请求。监控 WordPress 站点的用户注册活动,及时发现异常行为。
更新至 1.1.7 版本,或更新的修复版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-12981 是 WordPress Listee 主题中一个允许攻击者未经身份验证注册为管理员的权限提升漏洞,CVSS 评分为 9.8 (严重)。
如果您正在使用 Listee WordPress 主题,且版本低于 1.1.7,则您可能受到此漏洞的影响。
升级 Listee WordPress 主题至 1.1.7 或更高版本以修复此漏洞。
目前尚未发现公开的利用程序,但由于漏洞的严重性,预计未来可能会出现利用程序。
请访问 Listee WordPress 主题的官方网站或 WordPress 插件目录,查找有关此漏洞的公告。
CVSS 向量
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。