HIGHCVE-2025-3300CVSS 7.2

WPMasterToolKit (WPMTK) – All in one 插件 <= 2.5.2 - 认证用户（管理员及以上）存在任意文件读取和写入漏洞

Q: 什么是 CVE-2025-3300 — 任意文件访问漏洞在 WPMasterToolKit 插件中?

CVE-2025-3300 是 WPMasterToolKit 插件中发现的一个任意文件访问漏洞，允许攻击者读取和修改服务器上的文件。

Q: 我是否受到 CVE-2025-3300 在 WPMasterToolKit 插件中的影响?

如果您使用的是 WPMasterToolKit 插件的 1.0.0 到 1.15.0 版本，则您可能受到此漏洞的影响。

Q: 我如何修复 CVE-2025-3300 在 WPMasterToolKit 插件中?

请立即将 WPMasterToolKit 插件升级到 2.5.4 或更高版本。

Q: CVE-2025-3300 是否正在被积极利用?

目前尚未公开发现利用代码，但存在被利用的风险。

Q: 在哪里可以找到 WPMasterToolKit 插件官方针对 CVE-2025-3300 的公告?

请访问 WPMasterToolKit 插件的官方网站或 WordPress 插件目录，查找相关公告。

平台

wordpress

组件

wpmastertoolkit

修复版本

1.10.0

2.5.4

AI Confidence: highNVDEPSS 1.3%已审阅: 2026年5月

在NVD查看

保存

WPMasterToolKit (WPMTK) – All in one 插件存在一个任意文件访问漏洞，允许具有管理员级别或更高权限的身份验证攻击者读取和修改服务器上的任意文件。该漏洞影响所有版本，包括 1.0.0 到 1.15.0。攻击者可以利用此漏洞访问敏感数据，并可能进一步控制服务器。建议立即升级到 2.5.4 版本以修复此问题。

影响与攻击场景

此漏洞的潜在影响非常严重。攻击者可以利用它来访问服务器上的任何文件，包括包含数据库凭据、API 密钥、源代码和其他敏感信息的配置文件。通过读取这些文件，攻击者可以获取对网站和服务器的完全控制权。他们可以修改文件，植入恶意代码，窃取数据，甚至完全控制服务器。由于该漏洞需要管理员权限，但 WordPress 网站通常具有广泛的权限，因此攻击面相对较大。如果攻击者能够成功利用此漏洞，他们可以对网站造成严重损害，包括数据泄露、服务中断和声誉损失。

利用背景

目前尚未公开发现针对此漏洞的利用代码，但由于漏洞的严重性和易利用性，存在被利用的风险。该漏洞已于 2025 年 4 月 24 日公开披露。建议密切关注安全社区的动态，并及时采取缓解措施。目前未被列入 CISA KEV 目录，EPSS 评分待定。

哪些人处于风险中翻译中…

WordPress websites using the WPMasterToolKit plugin, particularly those with administrator accounts that have not been secured with strong passwords or multi-factor authentication, are at risk. Shared hosting environments where multiple WordPress installations share the same server resources are also at increased risk, as a compromise of one site could potentially lead to the compromise of others.

检测步骤翻译中…

• wordpress / composer / npm:

grep -r "../" /var/www/html/wp-content/plugins/wpmastertoolkit/

• generic web:

curl -I http://your-wordpress-site.com/wp-content/plugins/wpmastertoolkit/wp-content/../etc/passwd

攻击时间线

2025-04-24Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

1.27% (79% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

CVSS 向量

受影响的软件

组件wpmastertoolkit

供应商ludwigyou

影响范围修复版本

1.0.0 – 1.9.91.10.0

2.0.0 – 2.5.32.5.4

弱点分类 (CWE)

CWE-22

时间线

已保留2025-04-04
发布日期2025-04-24
修改日期2026-04-08
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是立即将 WPMasterToolKit 插件升级到 2.5.4 或更高版本。如果升级会导致网站出现问题，请考虑回滚到之前的稳定版本，并联系插件开发人员寻求支持。作为临时措施，可以尝试限制 WordPress 文件系统的权限，以减少攻击者可以访问的文件数量。此外，实施 Web 应用防火墙 (WAF) 可以帮助检测和阻止利用此漏洞的攻击尝试。监控 WordPress 网站的日志文件，查找任何可疑活动，例如对敏感文件的异常访问尝试。

修复方法翻译中…

Actualice el plugin WPMasterToolKit (WPMTK) – All in one plugin a la versión 2.5.4 o superior para mitigar la vulnerabilidad de Directory Traversal.  Esta actualización corrige la forma en que el plugin maneja las rutas de archivos, previniendo el acceso no autorizado a archivos sensibles en el servidor.  Asegúrese de realizar una copia de seguridad de su sitio web antes de actualizar el plugin.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-3300 — 任意文件访问漏洞在 WPMasterToolKit 插件中?