CRITICALCVE-2025-8572CVSS 9.8

Truelysell Core <= 1.8.7 - 通过注册进行未授权权限提升

Q: 什么是CVE-2025-8572 — 权限提升漏洞在Truelysell Core?

CVE-2025-8572是WordPress Truelysell Core插件中发现的权限提升漏洞，允许未经身份验证的攻击者创建具有管理员权限的账户。

Q: 我是否受到CVE-2025-8572在Truelysell Core的影响?

如果您正在使用Truelysell Core插件的版本低于1.8.8，则可能受到此漏洞的影响。请立即检查您的插件版本。

Q: 我如何修复CVE-2025-8572在Truelysell Core?

升级到Truelysell Core插件的1.8.8版本或更高版本可以修复此漏洞。

Q: CVE-2025-8572正在被积极利用吗?

目前尚未观察到大规模的利用活动，但由于漏洞的严重性和易利用性，预计未来可能会被攻击者利用。

Q: 在哪里可以找到Truelysell Core官方针对CVE-2025-8572的公告?

请访问Truelysell Core插件的官方网站或WordPress插件目录，查找有关CVE-2025-8572的公告。

平台

wordpress

组件

truelysell-core

修复版本

1.8.8

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-8572是一个权限提升漏洞，影响到WordPress Truelysell Core插件的版本低于或等于1.8.7。该漏洞源于在用户注册过程中，对user_role参数的验证不足，允许未经身份验证的攻击者创建具有提升权限的账户。及时升级到1.8.8版本可以有效解决此问题，保障系统安全。

影响与攻击场景

该漏洞的潜在影响非常严重。攻击者可以利用此漏洞绕过身份验证机制，创建具有管理员权限的账户。一旦成功，攻击者将能够完全控制受影响的WordPress网站，包括修改内容、安装恶意插件、窃取敏感数据，甚至完全接管服务器。攻击者可以利用这些权限进行数据泄露、恶意软件传播、网站篡改等活动，对网站运营者和用户造成重大损失。由于Truelysell Core插件的功能可能涉及用户数据管理，因此该漏洞可能导致用户个人信息泄露。

利用背景

该漏洞已公开披露，且CVSS评分为9.8（严重），表明其具有较高的利用风险。目前尚未观察到大规模的利用活动，但由于漏洞的严重性和易利用性，预计未来可能会被攻击者利用。建议密切关注安全社区的动态，及时获取最新的威胁情报。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.03% (10% 百分位)

CISA SSVC

利用情况none

可自动化yes

技术影响total

CVSS 向量

受影响的软件

组件truelysell-core

供应商wordfence

影响范围修复版本

0 – 1.8.71.8.8

弱点分类 (CWE)

CWE-269

时间线

已保留2025-08-04
发布日期2026-02-14
修改日期2026-04-08
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是立即将Truelysell Core插件升级到1.8.8版本或更高版本。如果升级过程出现问题，可以考虑回滚到之前的稳定版本，但请注意这只是临时解决方案。此外，可以考虑使用Web应用防火墙（WAF）来阻止恶意请求，并配置WordPress插件的权限控制，限制用户对敏感功能的访问。建议定期审查WordPress插件的权限设置，确保其符合最小权限原则。

修复方法

更新到 1.8.8 版本，或更新的补丁版本

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是CVE-2025-8572 — 权限提升漏洞在Truelysell Core?