HIGHCVE-2025-1565CVSS 7.5

Mayosis Core <= 5.4.1 - 未认证任意文件读取

Q: 什么是 CVE-2025-1565 — 任意文件读取漏洞在 Mayosis Core?

CVE-2025-1565 是 Mayosis Core WordPress 插件中的一个漏洞，允许攻击者读取服务器上的任意文件，可能泄露敏感信息。CVSS 评分为 7.5 (高)。

Q: 我是否受到 CVE-2025-1565 在 Mayosis Core 中的影响?

如果您正在使用 Mayosis Core 插件的版本低于或等于 5.4.1，则您可能受到此漏洞的影响。

Q: 我如何修复 CVE-2025-1565 在 Mayosis Core 中?

最有效的修复方法是立即将 Mayosis Core 插件升级到修复版本。

Q: CVE-2025-1565 是否正在被积极利用?

目前尚无公开的漏洞利用代码，但由于漏洞的严重性和易利用性，预计未来可能会出现。

Q: 在哪里可以找到 Mayosis Core 的官方漏洞公告，关于 CVE-2025-1565?

请查阅 Mayosis Core 官方网站或 WordPress 插件目录以获取官方公告。

平台

wordpress

组件

mayosis-core

修复版本

5.4.2

AI Confidence: highNVDEPSS 1.3%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-1565 是 Mayosis Core WordPress 插件中的一个严重漏洞，允许攻击者进行任意文件读取。该漏洞源于 library/wave-audio/peaks/remote_dl.php 文件的处理方式，攻击者无需身份验证即可利用此漏洞。此漏洞影响 Mayosis Core 的所有版本，包括 5.4.1 及更早版本。建议立即采取措施修复此漏洞，以防止潜在的数据泄露。

影响与攻击场景

攻击者可以利用此漏洞访问服务器上的任何文件，这可能导致敏感信息泄露，例如数据库凭据、API 密钥、源代码或其他机密数据。攻击者还可以利用此漏洞读取 Web 服务器的配置文件，从而获取有关服务器环境的信息。如果攻击者能够读取包含敏感数据的配置文件，他们可能会利用这些信息进行进一步的攻击，例如横向移动到其他系统或提升权限。由于该漏洞无需身份验证，因此攻击者可以轻松地利用它。

利用背景

目前尚无公开的漏洞利用代码，但由于漏洞的严重性和易利用性，预计未来可能会出现。该漏洞已于 2025 年 4 月 25 日公开披露。建议密切关注安全社区的动态，并及时采取措施修复此漏洞。该漏洞的发现和披露时间相对较近，因此目前尚未被添加到 CISA KEV 目录中。

哪些人处于风险中翻译中…

WordPress websites using the Mayosis Core plugin, particularly those running versions 0.0.0 through 5.4.1, are at risk. Shared hosting environments where users have limited control over file permissions are especially vulnerable, as attackers could potentially leverage this vulnerability to access files belonging to other users on the same server.

检测步骤翻译中…

• wordpress / composer / npm:

grep -r 'remote_dl.php' /var/www/html/wp-content/plugins/mayosis-core/

• generic web:

curl -I http://your-wordpress-site.com/wp-content/plugins/mayosis-core/library/wave-audio/peaks/remote_dl.php

• wordpress / composer / npm:

wp plugin list --status=inactive | grep mayosis-core

攻击时间线

2025-04-25Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

1.25% (79% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响partial

CVSS 向量

受影响的软件

组件mayosis-core

供应商TeconceTheme

影响范围修复版本

0 – 5.4.15.4.2

弱点分类 (CWE)

CWE-22

时间线

已保留2025-02-21
发布日期2025-04-25
修改日期2026-04-08
EPSS 更新日期2026-03-23

未修复 — 披露已394天

缓解措施和替代方案

最有效的缓解措施是立即将 Mayosis Core 插件升级到修复版本。如果无法立即升级，可以考虑以下临时缓解措施：限制对 library/wave-audio/peaks/remote_dl.php 文件的访问权限，例如通过 Web 应用防火墙 (WAF) 或反向代理。还可以考虑禁用此文件，但这可能会影响插件的功能。此外，应定期审查服务器上的文件权限，以确保只有授权用户才能访问敏感文件。升级后，请验证漏洞是否已成功修复，例如通过尝试访问受影响的文件并确认访问被拒绝。

修复方法翻译中…

Actualice el plugin Mayosis Core a la última versión disponible para solucionar esta vulnerabilidad.  Verifique la página de soporte del plugin o el repositorio de WordPress para obtener la versión más reciente y las instrucciones de actualización.  Esta actualización corrige la vulnerabilidad de lectura arbitraria de archivos, protegiendo su sitio web de accesos no autorizados a archivos sensibles.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-1565 — 任意文件读取漏洞在 Mayosis Core?