CVE-2025-13675 是一个在 WordPress Tiger 主题中发现的权限提升漏洞。该漏洞允许未经身份验证的攻击者在注册过程中指定 'administrator' 角色,从而获得对网站的管理员访问权限。该漏洞影响所有版本,包括 101.2.1 及更早版本。建议用户尽快更新主题以修复此安全问题。
该漏洞的影响非常严重,攻击者可以完全控制受影响的 WordPress 网站。他们可以修改网站内容,安装恶意软件,窃取敏感数据,甚至完全接管服务器。由于 WordPress 广泛使用,该漏洞可能影响大量网站。攻击者可以利用此漏洞进行数据泄露、网站篡改、恶意代码注入以及其他各种恶意活动。该漏洞的严重性类似于其他 WordPress 权限提升漏洞,可能导致网站被完全控制。
目前尚未公开可用的漏洞利用代码,但由于漏洞的严重性,预计未来可能会出现。该漏洞已发布,并被列入 NVD 数据库。CISA 尚未将其添加到 KEV 目录,但由于其严重性,可能在未来被添加到 KEV 目录中。建议密切关注安全社区的动态,并及时采取缓解措施。
Websites using the Tiger WordPress theme, particularly those with default configurations or limited security hardening, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r 'paypal-submit.php' /var/www/html/• wordpress / composer / npm:
wp plugin list | grep tiger• wordpress / composer / npm:
wp plugin update tiger --all• generic web:
Check WordPress access logs for suspicious POST requests to /wp-login.php with parameters attempting to set the user role to 'administrator'.
disclosure
漏洞利用状态
EPSS
0.15% (35% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Tiger WordPress 主题更新到最新版本,该版本修复了此漏洞。如果无法立即更新,可以考虑临时禁用 Tiger 主题,或使用 WordPress 插件来限制用户注册时可选择的角色。此外,建议实施强密码策略,并定期审查用户权限。可以使用 WAF(Web Application Firewall)来检测和阻止恶意注册尝试。请在升级后确认漏洞已修复,可以通过尝试以低权限用户注册,并验证是否无法提升为管理员权限来验证。
没有已知的补丁可用。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-13675 是一个在 WordPress Tiger 主题中发现的权限提升漏洞,允许攻击者在注册时获得管理员权限。
如果您正在使用 Tiger WordPress 主题的版本低于 101.2.1,则您可能受到此漏洞的影响。
立即将 Tiger WordPress 主题更新到最新版本以修复此漏洞。
虽然目前尚未公开可用的漏洞利用代码,但由于漏洞的严重性,预计未来可能会出现。
请访问 WordPress 官方网站或 Tiger 主题的官方网站,查找有关此漏洞的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。