KALLYAS WordPress主题存在一个严重的安全漏洞,允许经过身份验证的攻击者删除服务器上的任意文件夹。该漏洞源于delete_font()函数中文件路径验证不足,攻击者只需要拥有贡献者级别或更高的权限即可利用。此漏洞影响KALLYAS主题的所有版本,包括0.0.0到4.21.0。建议立即采取措施修复此漏洞。
该漏洞的影响非常严重,攻击者可以利用它删除服务器上的关键文件和目录,导致网站完全瘫痪,甚至可能导致数据丢失。攻击者可以删除包含敏感信息的文件夹,例如数据库配置文件、上传目录或主题文件。由于攻击者只需要贡献者级别的权限,因此即使权限较低的用户也可能被利用。这种攻击模式类似于其他文件管理系统中的路径遍历漏洞,可能导致严重的系统破坏。
该漏洞已公开披露,并且可能存在公开的利用代码。目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快修复。该漏洞尚未被添加到CISA KEV目录。
Websites using the KALLYAS theme, particularly those with contributor-level users who have write access to the WordPress file system, are at risk. Shared hosting environments where users have limited control over server file permissions are also particularly vulnerable. Sites running older, unpatched versions of the theme are most susceptible.
• wordpress / composer / npm:
wp plugin list | grep kallyas• wordpress / composer / npm:
grep -r 'delete_font(' /var/www/html/wp-content/plugins/kallyas/*• wordpress / composer / npm:
wp plugin update kallyas --all• wordpress / composer / npm:
wp theme list | grep kallyasdisclosure
漏洞利用状态
EPSS
0.09% (26% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将KALLYAS WordPress主题升级到修复版本。如果无法立即升级,可以考虑以下临时缓解措施:限制用户权限,确保只有管理员才能访问敏感文件和目录。实施Web应用防火墙(WAF)规则,阻止对delete_font()函数的恶意请求。监控服务器日志,查找可疑活动,例如对文件系统的异常删除操作。禁用不必要的插件和主题,减少攻击面。
Actualice el tema Kallyas a la última versión disponible para solucionar la vulnerabilidad de eliminación arbitraria de carpetas. Asegúrese de realizar una copia de seguridad completa de su sitio web antes de actualizar el tema. Verifique que los permisos de los archivos y carpetas sean los correctos para evitar accesos no autorizados.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-6989是KALLYAS WordPress主题中发现的一个安全漏洞,允许攻击者删除服务器上的任意文件夹,影响版本0.0.0–4.21.0。
如果您正在使用KALLYAS WordPress主题的版本低于4.21.0,则可能受到此漏洞的影响。请立即检查您的主题版本。
最有效的修复方法是立即将KALLYAS WordPress主题升级到修复版本。
虽然目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快修复。
请访问KALLYAS官方网站或WordPress插件目录,查找关于CVE-2025-6989的官方公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。