CVE-2025-2798 是 Woffice CRM WordPress 主题中的身份验证绕过漏洞。该漏洞允许未经身份验证的攻击者注册为管理员角色,如果使用了自定义登录表单,则可能导致严重的安全风险。该漏洞影响 Woffice CRM 主题的 0.0.0 至 5.4.21 版本。建议用户尽快升级至 5.4.22 版本以修复此漏洞。
此身份验证绕过漏洞的潜在影响非常严重。攻击者成功利用该漏洞后,可以未经授权地注册为管理员,从而获得对 WordPress 站点的完全控制权。他们可以修改网站内容、安装恶意软件、窃取敏感数据,甚至完全控制服务器。该漏洞可以与 CVE-2025-2797 结合使用,绕过用户审批流程,进一步扩大攻击范围。攻击者可能利用此漏洞进行数据泄露、服务中断或恶意代码注入,对网站的正常运行和用户数据安全构成严重威胁。
该漏洞已公开披露,且 CVSS 评分高达 9.8 (CRITICAL),表明其具有极高的风险。目前尚未发现公开的利用程序,但由于漏洞的严重性和易利用性,预计未来可能会出现。建议密切关注安全社区的动态,及时采取应对措施。该漏洞尚未被添加到 CISA KEV 目录。
Organizations using Woffice CRM, particularly those with custom login forms or relying on the standard user registration process, are at significant risk. Shared hosting environments where multiple WordPress installations share the same server are also vulnerable, as a compromise of one site could potentially impact others. Sites using older, unpatched versions of WordPress are also at increased risk due to potential compatibility issues.
• wordpress / composer / npm:
wp plugin list | grep woffice• wordpress / composer / npm:
wp plugin update woffice• wordpress / composer / npm:
grep -r 'excluded_roles' /var/www/html/wp-content/plugins/wooffice-crm/*• generic web:
curl -I https://your-wordpress-site.com/wp-admin/admin-ajax.php?action=wooffice_register_userdisclosure
patch
漏洞利用状态
EPSS
1.05% (77% 百分位)
CISA SSVC
CVSS 向量
修复此漏洞的首要措施是立即将 Woffice CRM WordPress 主题升级至 5.4.22 或更高版本。如果无法立即升级,可以考虑使用 WordPress 插件来限制自定义登录表单的功能,或实施更严格的角色管理策略。此外,建议使用 Web 应用防火墙 (WAF) 来检测和阻止恶意请求。监控 WordPress 站点的登录尝试和用户活动,及时发现异常行为。定期审查 WordPress 插件和主题的安全性,确保其更新到最新版本。
将Woffice CRM主题更新到5.4.22或更高版本以修复身份验证绕过漏洞。此更新解决了注册期间排除角色配置不正确的问题,防止未经身份验证的攻击者以管理员权限注册。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-2798 是 Woffice CRM WordPress 主题中的一个身份验证绕过漏洞,允许未经身份验证的用户注册为管理员。
如果您正在使用 Woffice CRM WordPress 主题的 0.0.0 至 5.4.21 版本,则可能受到此漏洞的影响。
升级 Woffice CRM WordPress 主题至 5.4.22 或更高版本以修复此漏洞。
目前尚未发现公开的利用程序,但由于漏洞的严重性,预计未来可能会出现。
请访问 Woffice CRM 的官方网站或 WordPress 插件目录,查找有关此漏洞的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。