安全企业Wordfence指出,提供网站管理者构建会员系统的WordPress插件程序User Registration & Membership,存在重大层级的未经身份验证权限提升漏洞CVE-2025-2563,CVSS风险达到9.8分(满分10分),影响4.1.1以下版本,全球有超过6万网站采用。在他们向开发商WPEverest通报之后,他们推出4.1.2版进行修补。
什么是User Registration & Membership?这是提供会员系统的插件程序,能让管理员无缝集成网站与会员系统生态圈,包含注册表单、会员群组、登录界面、用户个人数据、内容管制,以及一系列的工具。WPEverest号称此插件程序相当轻量,执行的反应灵敏。除此之外,他们也提供能支持附加组件的付费版本,网站管理员能进一步与电商网站插件WooCommerce、付款流程、电子邮件营销服务集成。
针对这项漏洞发生的原因,Wordfence指出是在特定的功能其中,出现角色类型限制不全的现象,导致未经授权的攻击者只要借由创建新的用户账号,就有机会得到管理员的角色。
