平台
wordpress
组件
custom-registration-form-builder-with-submission-manager
修复版本
6.0.8
CVE-2025-15403 是 WordPress 插件 RegistrationMagic 中的一个特权提升漏洞。该漏洞允许未经身份验证的攻击者通过操纵插件的菜单生成逻辑,提升其权限。该漏洞影响 RegistrationMagic 插件的 0.0.0 至 6.0.7.1 版本。建议用户尽快升级至 6.0.7.2 版本以修复此安全问题。
该漏洞的潜在影响非常严重。攻击者可以利用此漏洞在 WordPress 站点上获得管理员权限,从而完全控制站点。他们可以修改数据、安装恶意软件、删除文件,甚至完全接管整个服务器。由于 RegistrationMagic 插件广泛应用于 WordPress 站点,该漏洞可能影响大量用户。攻击者可以利用此漏洞进行数据泄露、服务中断和恶意代码注入等攻击。攻击者可以通过构造恶意的 AJAX 请求,注入空 slug 到 order 参数中,从而绕过权限检查,并获得 'manage_options' 权限。
目前尚无公开的漏洞利用代码,但该漏洞的严重程度很高,且影响范围广,因此存在被利用的风险。该漏洞已于 2026-01-17 公开,建议尽快采取措施进行修复。CISA 尚未将其添加到 KEV 目录,但由于其高危等级,应密切关注。
漏洞利用状态
EPSS
0.14% (34% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 RegistrationMagic 插件升级至 6.0.7.2 或更高版本。如果无法立即升级,可以考虑回滚到之前的安全版本。此外,可以实施一些额外的安全措施来降低风险。例如,可以限制对 RegistrationMagic 插件的访问权限,只允许授权用户进行管理操作。还可以使用 WordPress 安全插件来监控插件的活动,并检测潜在的攻击行为。 建议审查 WordPress 插件的权限设置,确保没有不必要的权限被授予。
更新到 6.0.7.2 版本,或更新的补丁版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-15403 是 WordPress 插件 RegistrationMagic 中的一个特权提升漏洞,允许未经身份验证的攻击者提升权限。
如果您正在使用 RegistrationMagic 插件的 0.0.0 至 6.0.7.1 版本,则您可能受到此漏洞的影响。
请立即将 RegistrationMagic 插件升级至 6.0.7.2 或更高版本。
目前尚无公开的漏洞利用代码,但由于其高危等级,存在被利用的风险。
请访问 RegistrationMagic 插件的官方网站或 WordPress 插件目录,查找相关公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。