行业新闻与博客

Motors WordPress 主题中存在一个安全漏洞，该漏洞可能允许权限最低的已登录用户完全控制受影响的网站。

该问题涉及任意文件上传漏洞，允许订阅用户和更高级别的用户安装和激活插件，从而可能导致恶意代码执行。

Motors 主题是一款广泛用于汽车网站的 WordPress 解决方案，包括汽车经销商、车辆租赁平台和分类信息列表。

该主题由 StylemixThemes 开发，目前拥有超过 20,000 个活跃安装量。

该漏洞影响 5.6.81 及以下版本，已被分配 CVE-2025-64374 。

该漏洞由 Patchstack Alliance 社区成员 Denver Jackson 发现并负责任地报告。它存在于一个允许通过后端函数安装插件的 Ajax 处理程序中。虽然该函数使用 nonce 进行请求验证，但它缺少适当的权限检查。

由于订阅用户可以通过 WordPress 管理界面访问 nonce 值，任何登录用户都可以提供任意插件 URL 。这使得恶意插件能够被上传和激活，最终导致网站完全被控制。

Patchstack 指出，这反映了 WordPress 组件中普遍存在的问题。 Nonce 的设计目的是为了防止请求伪造，而不是为了强制执行访问控制。

“绝不应依赖 nonce 进行身份验证、授权或访问控制。请使用 current_user_can () 保护您的函数，并始终假设 nonce 可能已被泄露，”WordPress 开发者文档建议道。

该问题已在 Motors 5.6.82 版本中修复，该版本引入了 current_user_can 权限检查。这确保只有授权用户才能触发插件的安装和激活过程。该补丁于 11 月 3 日发布，此前已于 9 月份向供应商披露了该问题。

PatchStack 今天发布的这份建议重点强调了开发者和网站所有者需要注意的几个关键点：

• 仅靠随机数不足以保护特权功能

• 所有修改网站的操作都应执行严格的权限检查。

• 不应默认所有已登录用户都值得信任。

强烈建议使用 Motors 主题的网站所有者更新至 5.6.82 或更高版本，以降低风险。未能更新将导致网站面临 WordPress 最严重的漏洞之一的风险。