平台
wordpress
组件
flex-store-user
修复版本
1.1.1
CVE-2025-13619 是 WordPress Flex Store Users 插件中的一个权限提升漏洞。该漏洞源于 fsUserHandle::signup 和 fsSellerRole::addroleseller 函数未能限制用户注册时可以分配的角色。攻击者可以利用此漏洞注册具有管理员权限的用户,从而获得未经授权的访问权限。该漏洞影响 Flex Store Users 插件 0.0.0 到 1.1.0 版本。建议用户尽快升级到修复版本或采取缓解措施。
该漏洞的影响非常严重,攻击者可以利用它绕过身份验证机制,直接获得网站的管理员权限。一旦获得管理员权限,攻击者可以完全控制网站,包括修改内容、安装恶意软件、窃取敏感数据,甚至完全破坏网站。如果 Flex Store Seller 插件也已激活,攻击者可以通过 fs_type 参数进一步利用此漏洞。这种权限提升漏洞的潜在影响范围非常广,可能导致严重的经济损失和声誉损害。
目前尚无公开的漏洞利用代码,但该漏洞的严重程度很高,存在被利用的风险。该漏洞已于 2025 年 12 月 20 日公开披露。由于该漏洞允许未经身份验证的攻击者获得管理员权限,因此被认为具有较高的利用概率。建议用户密切关注安全社区的动态,并及时采取缓解措施。
WordPress sites utilizing the Flex Store Users plugin, particularly those running versions 0.0.0 through 1.1.0, are at significant risk. Shared hosting environments where plugin updates are not managed by the site owner are especially vulnerable. Sites that also have the Flex Store Seller plugin installed are at increased risk due to the exploitation via the 'fs_type' parameter.
• wordpress / composer / npm:
grep -r 'fsUserHandle::signup' /var/www/html/wp-content/plugins/flex-store-users/• wordpress / composer / npm:
grep -r 'fsSellerRole::add_role_seller' /var/www/html/wp-content/plugins/flex-store-users/• wordpress / composer / npm:
wp plugin list | grep 'flex-store-users'• wordpress / composer / npm:
wp plugin status flex-store-usersdisclosure
漏洞利用状态
EPSS
0.15% (35% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即升级 Flex Store Users 插件到修复版本。如果无法立即升级,可以考虑以下临时缓解措施:首先,禁用 Flex Store Users 插件,以阻止新的用户注册。其次,审查现有的用户角色,删除任何未经授权的管理员角色。第三,实施严格的访问控制策略,限制对敏感数据的访问。最后,监控网站的活动日志,查找任何可疑的活动。升级后,请确认插件已正确更新,并且用户角色配置符合安全要求。
没有已知的补丁可用。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-13619 是 WordPress Flex Store Users 插件中的一个权限提升漏洞,允许攻击者注册具有管理员权限的用户,从而获得网站的管理员访问权限。
如果您正在使用 Flex Store Users 插件的版本低于 1.1.0,则可能受到此漏洞的影响。请立即检查您的插件版本。
最有效的修复方法是立即升级 Flex Store Users 插件到修复版本。
目前尚无公开的漏洞利用代码,但由于该漏洞的严重程度很高,存在被利用的风险。
请查阅 WordPress 官方安全公告或 Flex Store Users 插件的官方网站,以获取有关此漏洞的更多信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。