行業新聞與部落格

Motors WordPress 主題中存在一個安全漏洞，該漏洞可能允許許可權最低的已登入使用者完全控制受影響的網站。

該問題涉及任意檔案上傳漏洞，允許訂閱使用者和更高級別的使用者安裝和啟用外掛，從而可能導致惡意程式碼執行。

Motors 主題是一款廣泛用於汽車網站的 WordPress 解決方案，包括汽車經銷商、車輛租賃平臺和分類資訊列表。

該主題由 StylemixThemes 開發，目前擁有超過 20,000 個活躍安裝量。

該漏洞影響 5.6.81 及以下版本，已被分配 CVE-2025-64374 。

該漏洞由 Patchstack Alliance 社群成員 Denver Jackson 發現並負責任地報告。它存在於一個允許通過後端函式安裝外掛的 Ajax 處理程式中。雖然該函式使用 nonce 進行請求驗證，但它缺少適當的許可權檢查。

由於訂閱使用者可以透過 WordPress 管理介面訪問 nonce 值，任何登入使用者都可以提供任意外掛 URL 。這使得惡意外掛能夠被上傳和啟用，最終導致網站完全被控制。

Patchstack 指出，這反映了 WordPress 元件中普遍存在的問題。 Nonce 的設計目的是為了防止請求偽造，而不是為了強制執行訪問控制。

“絕不應依賴 nonce 進行身份驗證、授權或訪問控制。請使用 current_user_can () 保護您的函式，並始終假設 nonce 可能已被洩露，”WordPress 開發者文件建議道。

該問題已在 Motors 5.6.82 版本中修復，該版本引入了 current_user_can 許可權檢查。這確保只有授權使用者才能觸發外掛的安裝和啟用過程。該補丁於 11 月 3 日釋出，此前已於 9 月份向供應商披露了該問題。

PatchStack 今天釋出的這份建議重點強調了開發者和網站所有者需要注意的幾個關鍵點：

• 僅靠隨機數不足以保護特權功能

• 所有修改網站的操作都應執行嚴格的許可權檢查。

• 不應預設所有已登入使用者都值得信任。

強烈建議使用 Motors 主題的網站所有者更新至 5.6.82 或更高版本，以降低風險。未能更新將導致網站面臨 WordPress 最嚴重的漏洞之一的風險。