4.4.9
CVE-2025-14976 描述了 WordPress User Registration & Membership 插件中的跨站请求伪造 (CSRF) 漏洞。该漏洞允许未经身份验证的攻击者通过诱骗网站管理员执行操作(例如点击链接)来删除任意帖子。该漏洞影响所有小于或等于 4.4.8 版本的插件,已于 4.4.9 版本中修复。
攻击者可以利用此 CSRF 漏洞在 WordPress 网站上执行未经授权的操作,特别是删除任意帖子。这可能导致内容丢失、网站功能中断,甚至可能被用于进一步攻击。攻击者可以通过精心设计的恶意链接诱骗管理员执行删除操作,无需任何身份验证。如果网站管理员账户权限较高,攻击者可能能够删除关键帖子或页面,从而严重影响网站的可用性和完整性。该漏洞的潜在影响取决于网站的配置和管理员的权限。
该漏洞已公开披露,且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录中。公开的 PoC 尚未发现,但漏洞的描述表明攻击者可以通过简单的 CSRF 攻击来利用它。
WordPress websites utilizing the User Registration & Membership plugin, particularly those with administrative accounts that are frequently used and potentially susceptible to phishing or social engineering attacks, are at risk. Shared hosting environments where multiple websites share the same server resources may also be indirectly affected if one site is compromised and used to launch attacks against others.
• wordpress / composer / npm:
grep -r 'process_row_actions' /var/www/html/wp-content/plugins/user-registration-membership/• wordpress / composer / npm:
wp plugin list --status=all | grep 'user-registration-membership'• wordpress / composer / npm:
wp plugin update user-registration-membershipdisclosure
漏洞利用状态
EPSS
0.02% (4% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 User Registration & Membership 插件升级至 4.4.9 或更高版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 来过滤潜在的 CSRF 请求。此外,确保所有管理员账户都启用了双因素身份验证 (2FA),以降低攻击者利用 CSRF 漏洞的风险。定期审查 WordPress 插件的权限设置,并移除不必要的权限,以减少潜在的攻击面。
更新至 4.4.9 版本,或更新的修复版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-14976 是 WordPress User Registration & Membership 插件中发现的跨站请求伪造 (CSRF) 漏洞,允许攻击者删除任意帖子。
如果您正在使用 User Registration & Membership 插件的 0.0.0–4.4.8 版本,则您可能受到影响。请立即升级。
将 User Registration & Membership 插件升级至 4.4.9 或更高版本以修复此漏洞。
目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。
请访问 User Registration & Membership 插件的官方网站或 WordPress 插件目录以获取更多信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。