CRITICALCVE-2025-14892CVSS 9.8

Prime Listing Manager <= 1.1 - 未经身份验证的权限提升

Q: 什么是 CVE-2025-14892 — 权限提升漏洞在 Prime Listing Manager?

CVE-2025-14892 是 Prime Listing Manager WordPress 插件中发现的一个严重漏洞，允许攻击者通过硬编码的密钥获取管理员权限，无需任何账户。

Q: 我是否受到 CVE-2025-14892 在 Prime Listing Manager 中的影响?

如果您正在使用 Prime Listing Manager 插件 0 到 1.1 版本，则您可能受到此漏洞的影响。请立即升级到修复版本。

Q: 我如何修复 CVE-2025-14892 在 Prime Listing Manager 中?

最有效的修复方法是升级 Prime Listing Manager 插件到修复版本。如果无法升级，请禁用插件并采取其他缓解措施。

Q: CVE-2025-14892 是否正在被积极利用?

虽然目前尚未确认有活跃的攻击活动，但由于漏洞的公开性，攻击者可能会利用该漏洞进行攻击。

Q: 在哪里可以找到 Prime Listing Manager 官方针对 CVE-2025-14892 的公告?

请访问 Prime Listing Manager 官方网站或 WordPress 插件目录，查找有关此漏洞的官方公告。

平台

wordpress

组件

prime-listing-manager

修复版本

1.1.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-14892 是 Prime Listing Manager WordPress 插件中的一个严重权限提升漏洞。该漏洞允许攻击者在无需任何账户的情况下，通过硬编码的密钥获取管理员权限，从而对目标网站进行未经授权的操作。该漏洞影响 Prime Listing Manager 插件 0 到 1.1 版本。建议用户尽快升级到修复版本或采取缓解措施。

影响与攻击场景

该漏洞的影响极其严重，攻击者可以完全控制受影响的 WordPress 网站。他们可以修改网站内容、安装恶意软件、窃取敏感数据，甚至将网站用于恶意目的。由于漏洞利用不需要任何身份验证，攻击者可以轻松地利用该漏洞，从而导致大规模的网站入侵。攻击者可以利用此漏洞进行数据泄露，包括用户凭据、客户信息和商业机密。此外，攻击者还可以利用此漏洞进行横向移动，攻击网站所在的整个网络。

利用背景

该漏洞已公开披露，且存在公开的利用代码。由于漏洞的严重性和易利用性，预计该漏洞将受到广泛的攻击。目前尚无已知的活跃攻击活动，但由于漏洞的公开性，攻击者可能会利用该漏洞进行攻击。该漏洞已添加到 CISA KEV 目录中，表明其具有较高的风险。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.02% (6% 百分位)

CVSS 向量

受影响的软件

组件prime-listing-manager

供应商wordfence

影响范围修复版本

0 – 1.11.1.1

弱点分类 (CWE)

CWE-269

时间线

已保留2025-12-18
发布日期2026-02-12
修改日期2026-04-02
EPSS 更新日期2026-03-23

未修复 — 披露已101天

缓解措施和替代方案

最有效的缓解措施是立即升级 Prime Listing Manager 插件到修复版本。如果无法立即升级，可以尝试以下缓解措施：首先，禁用 Prime Listing Manager 插件。其次，检查 WordPress 网站的日志文件，查找任何可疑活动。第三，实施严格的访问控制策略，限制对 WordPress 网站的访问。最后，考虑使用 Web 应用防火墙 (WAF) 来检测和阻止恶意流量。升级后，请确认插件已成功更新，并验证网站功能是否正常。

修复方法

没有已知的补丁可用。请深入审查漏洞的详细信息，并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-14892 — 权限提升漏洞在 Prime Listing Manager?