行業新聞與博客

Motors WordPress 主題中存在一個安全漏洞，該漏洞可能允許權限最低的已登錄用户完全控制受影響的網站。

該問題涉及任意文件上傳漏洞，允許訂閲用户和更高級別的用户安裝和激活插件，從而可能導致惡意代碼執行。

Motors 主題是一款廣泛用於汽車網站的 WordPress 解決方案，包括汽車經銷商、車輛租賃平台和分類信息列表。

該主題由 StylemixThemes 開發，目前擁有超過 20,000 個活躍安裝量。

該漏洞影響 5.6.81 及以下版本，已被分配 CVE-2025-64374 。

該漏洞由 Patchstack Alliance 社區成員 Denver Jackson 發現並負責任地報告。它存在於一個允許通過後端函數安裝插件的 Ajax 處理程序中。雖然該函數使用 nonce 進行請求驗證，但它缺少適當的權限檢查。

由於訂閲用户可以通過 WordPress 管理界面訪問 nonce 值，任何登錄用户都可以提供任意插件 URL 。這使得惡意插件能夠被上傳和激活，最終導致網站完全被控制。

Patchstack 指出，這反映了 WordPress 組件中普遍存在的問題。 Nonce 的設計目的是為了防止請求偽造，而不是為了強制執行訪問控制。

“絕不應依賴 nonce 進行身份驗證、授權或訪問控制。請使用 current_user_can () 保護您的函數，並始終假設 nonce 可能已被泄露，”WordPress 開發者文檔建議道。

該問題已在 Motors 5.6.82 版本中修復，該版本引入了 current_user_can 權限檢查。這確保只有授權用户才能觸發插件的安裝和激活過程。該補丁於 11 月 3 日發佈，此前已於 9 月份向供應商披露了該問題。

PatchStack 今天發佈的這份建議重點強調了開發者和網站所有者需要注意的幾個關鍵點：

• 僅靠隨機數不足以保護特權功能

• 所有修改網站的操作都應執行嚴格的權限檢查。

• 不應默認所有已登錄用户都值得信任。

強烈建議使用 Motors 主題的網站所有者更新至 5.6.82 或更高版本，以降低風險。未能更新將導致網站面臨 WordPress 最嚴重的漏洞之一的風險。