平台
wordpress
组件
app-builder
修复版本
5.5.11
CVE-2026-2375是一个特权提升漏洞,影响App Builder – Create Native Android & iOS Apps On The Flight WordPress插件。攻击者可以利用此漏洞绕过正常的角色验证流程,获得更高的权限。该漏洞影响版本0.0.0到5.5.10。建议用户尽快升级到修复版本或采取缓解措施。
此漏洞允许未经身份验证的攻击者注册具有wcfm_vendor角色的账户,从而可能获得对WordPress网站的未经授权的访问和控制。攻击者可以利用此权限执行恶意操作,例如修改网站内容、安装恶意插件或窃取敏感数据。由于该漏洞允许角色提升,攻击者可能能够进一步提升其权限,从而完全控制受影响的网站。这种攻击模式类似于其他WordPress插件漏洞,可能导致数据泄露、网站篡改和业务中断。
该漏洞已公开披露,存在公开的漏洞描述。目前尚不清楚该漏洞是否被积极利用,但由于其影响程度和易于利用性,建议尽快采取缓解措施。该漏洞尚未被添加到CISA KEV目录。建议密切关注安全社区的动态,以获取有关此漏洞的最新信息。
漏洞利用状态
EPSS
0.06% (18% 百分位)
CISA SSVC
CVSS 向量
目前官方尚未发布修复版本。作为临时缓解措施,建议禁用App Builder插件,或限制wcfm_vendor角色的注册权限。可以通过修改WordPress主题或插件代码,强制执行更严格的角色验证流程。此外,建议使用Web应用防火墙(WAF)来检测和阻止恶意请求,并定期审查WordPress网站的用户账户和权限设置。在升级插件之前,务必备份网站数据,并测试升级后的功能是否正常工作。升级后,确认角色验证流程已正确实施,并验证用户权限。
没有已知的补丁可用。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-2375是一个特权提升漏洞,影响App Builder WordPress插件的版本0.0.0到5.5.10。攻击者可以利用此漏洞绕过角色验证,获得更高的权限。
如果您正在使用App Builder WordPress插件的版本0.0.0到5.5.10,则可能受到此漏洞的影响。请立即采取缓解措施。
目前官方尚未发布修复版本。建议禁用插件或限制角色注册权限,并使用WAF进行防护。
目前尚不清楚该漏洞是否被积极利用,但建议尽快采取缓解措施以降低风险。
请访问App Builder插件的官方网站或WordPress插件目录,查找有关CVE-2026-2375的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。