HIGHCVE-2025-14541CVSS 7.2

Lucky Wheel Giveaway <= 1.0.22 - 认证用户 (管理员+) 通过 'conditional_tags' 参数实现远程代码执行

Q: 什么是 CVE-2025-14541 — RCE 在 Lucky Wheel Giveaway 插件中？

CVE-2025-14541 是 WordPress Lucky Wheel Giveaway 插件中的一个远程代码执行漏洞，允许攻击者在服务器上执行代码，影响 1.0.0–1.0.22 版本。

Q: 我是否受到 CVE-2025-14541 在 Lucky Wheel Giveaway 插件中影响？

如果您正在使用 Lucky Wheel Giveaway 插件 1.0.0 至 1.0.22 版本，则您可能受到此漏洞的影响。请立即升级。

Q: 如何修复 CVE-2025-14541 在 Lucky Wheel Giveaway 插件中？

将 Lucky Wheel Giveaway 插件升级至 1.0.23 或更高版本以修复此漏洞。

Q: CVE-2025-14541 是否正在被积极利用？

目前尚未公开发现广泛利用，但由于其严重性，预计未来可能会出现。

Q: 在哪里可以找到 Lucky Wheel Giveaway 插件官方针对 CVE-2025-14541 的公告？

请访问 Lucky Wheel Giveaway 插件的官方网站或 WordPress 插件目录，以获取有关此漏洞的更多信息。

平台

wordpress

组件

wp-lucky-wheel

修复版本

1.0.23

AI Confidence: highNVDEPSS 0.4%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-14541 是 WordPress Lucky Wheel Giveaway 插件中的一个远程代码执行 (RCE) 漏洞。由于插件在未经充分验证和清理的情况下，对用户控制的输入使用 PHP 的 eval() 函数，攻击者可以利用此漏洞在服务器上执行代码。此漏洞影响 Lucky Wheel Giveaway 插件 1.0.0 至 1.0.22 版本，建议立即升级至 1.0.23 版本以修复。

影响与攻击场景

该 RCE 漏洞允许具有管理员级别或更高权限的身份验证攻击者在受影响的 WordPress 网站上执行任意代码。攻击者可以完全控制服务器，包括读取、修改和删除文件，安装恶意软件，甚至完全接管网站。攻击者可以利用此漏洞窃取敏感数据，例如用户凭据、数据库内容和商业机密。此外，攻击者还可以利用此漏洞作为跳板，进行横向移动，攻击网络中的其他系统。由于该漏洞允许远程代码执行，因此其潜在影响非常严重，可能导致网站完全瘫痪。

利用背景

目前尚未公开发现针对此漏洞的广泛利用，但由于其严重性和易于利用，预计未来可能会出现。该漏洞已添加到 CISA KEV 目录中，表明其具有中等概率被利用。建议密切关注安全社区的动态，并及时采取措施保护您的网站。

哪些人处于风险中翻译中…

WordPress websites utilizing the Lucky Wheel Giveaway plugin, particularly those with administrator accounts that have not been secured with strong passwords and multi-factor authentication, are at significant risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise of one website could potentially lead to the compromise of others.

检测步骤翻译中…

• wordpress / plugin:

wp plugin list | grep "Lucky Wheel Giveaway"

• wordpress / plugin: Check plugin version.

wp plugin list --status=active --format=json | jq '.["Lucky Wheel Giveaway"].version'

• wordpress / plugin: Examine plugin files for eval() usage without sanitization. Use grep -r eval . within the plugin directory. • generic web: Monitor access logs for requests containing suspicious PHP code in the conditional_tags parameter. Look for patterns resembling code injection attempts.

攻击时间线

2026-02-11Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.38% (59% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

CVSS 向量

受影响的软件

组件wp-lucky-wheel

供应商wordfence

影响范围修复版本

0 – 1.0.221.0.23

弱点分类 (CWE)

CWE-94

时间线

已保留2025-12-11
发布日期2026-02-11
修改日期2026-04-08
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是立即将 Lucky Wheel Giveaway 插件升级至 1.0.23 或更高版本。如果无法立即升级，可以考虑暂时禁用该插件，以防止攻击者利用此漏洞。此外，可以实施一些额外的安全措施，例如限制 WordPress 用户的权限，并定期扫描网站是否存在漏洞。如果升级导致网站出现问题，可以尝试回滚到之前的版本，并联系插件开发人员寻求支持。使用 Web 应用防火墙 (WAF) 也可以帮助阻止恶意请求，但不能完全替代升级。

修复方法

更新至 1.0.23 版本，或更新的补丁版本

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-14541 — RCE 在 Lucky Wheel Giveaway 插件中？