CVE-2025-14675 是 Meta Box WordPress 插件中发现的任意文件访问漏洞。该漏洞源于 'ajaxdeletefile' 函数中文件路径验证不足,允许经过身份验证的攻击者(至少拥有贡献者权限)删除服务器上的任意文件。如果攻击者删除关键文件,例如 wp-config.php,则可能导致远程代码执行。该漏洞影响 Meta Box WordPress 插件的 0.0.0 至 5.11.1 版本,建议升级至 5.11.2 版本以修复。
该漏洞的潜在影响非常严重。攻击者可以利用此漏洞删除服务器上的任意文件,从而破坏网站的正常运行。最严重的情况下,攻击者可以删除 wp-config.php 文件,该文件包含数据库连接信息和其他敏感配置。删除 wp-config.php 文件将使网站无法访问,并可能导致数据泄露。此外,攻击者还可以删除其他重要文件,例如主题文件或插件文件,从而进一步破坏网站的功能。由于 Meta Box 插件被广泛使用,因此该漏洞可能影响大量 WordPress 网站。
目前,该漏洞尚未被广泛利用,但由于其严重性和易于利用性,预计未来可能会出现更多利用案例。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的安全风险。公开的 PoC 尚未发现,但由于漏洞的性质,预计很快会有 PoC 发布。建议密切关注安全社区的动态,并及时采取缓解措施。
WordPress websites using the Meta Box plugin, particularly those with users having Contributor-level access or higher, are at risk. Shared hosting environments where multiple websites share the same server resources are also at increased risk, as a compromise on one site could potentially impact others.
• wordpress / composer / npm:
grep -r 'ajax_delete_file' /var/www/html/wp-content/plugins/meta-box/• wordpress / composer / npm:
wp plugin list --status=active | grep 'meta-box'• wordpress / composer / npm:
wp plugin update meta-box --all• generic web: Check WordPress plugin directory for updates and security advisories related to Meta Box.
disclosure
漏洞利用状态
EPSS
0.89% (75% 百分位)
CISA SSVC
最有效的缓解措施是立即将 Meta Box WordPress 插件升级至 5.11.2 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:限制用户权限,确保只有具有必要权限的用户才能访问 WordPress 后台。实施严格的文件访问控制,限制对敏感文件的写入权限。使用 Web 应用防火墙 (WAF) 监控和阻止可疑的文件删除请求。定期备份 WordPress 网站,以便在发生安全事件时能够快速恢复。升级后,请验证插件是否已成功更新,并检查网站是否正常运行。
更新到 5.11.2 版本,或更新的补丁版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-14675 是 Meta Box WordPress 插件中的一个漏洞,允许攻击者删除服务器上的任意文件,可能导致远程代码执行。影响版本为 0.0.0 至 5.11.1。
如果您正在使用 Meta Box WordPress 插件的版本低于 5.11.2,则您可能受到此漏洞的影响。请立即升级到最新版本。
修复此漏洞的最佳方法是将 Meta Box WordPress 插件升级至 5.11.2 或更高版本。
目前尚未确认 CVE-2025-14675 正在被积极利用,但由于其严重性,预计未来可能会出现利用案例。
请访问 Meta Box 官方网站或 WordPress 插件目录,查找有关 CVE-2025-14675 的安全公告。
CVSS 向量
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。