漏洞概述

熱門WordPress插件Eventin近日曝出嚴重權(quán)限提升漏洞（CVE-2025-47539），導(dǎo)致超過10,000個網(wǎng)站面臨完全被控制的風險。該漏洞允許未認證攻擊者無需用戶交互即可創(chuàng)建管理員賬戶，從而完全掌控受影響網(wǎng)站。安全研究人員強烈建議用戶立即升級至4.0.27版本，該版本已包含針對此關(guān)鍵漏洞的修復(fù)補丁。

影響范圍

由Themewinter開發(fā)的Eventin插件被廣泛用于WordPress網(wǎng)站的活動管理功能。由于該插件在數(shù)千個網(wǎng)站中的廣泛部署，使得該漏洞影響尤為嚴重。成功利用此漏洞可能導(dǎo)致網(wǎng)站篡改、數(shù)據(jù)竊取、惡意軟件注入，或被用于更大規(guī)模的僵尸網(wǎng)絡(luò)攻擊。

技術(shù)細節(jié)

Patchstack研究人員發(fā)現(xiàn)，漏洞源于Eventin插件中處理演講者導(dǎo)入功能的REST API端點存在安全缺陷。該漏洞最初由安全研究員Denver Jackson于2025年4月19日通過Patchstack零日漏洞賞金計劃報告，并因此獲得600美元獎勵。

漏洞的核心問題在于import_item_permissions_check()函數(shù)僅簡單返回true而未執(zhí)行任何實際權(quán)限驗證：

public function import_item_permissions_check($request) { return true; }

這種實現(xiàn)方式允許任何未認證用戶訪問該端點。結(jié)合處理導(dǎo)入用戶數(shù)據(jù)時缺乏角色驗證的缺陷，攻擊者可以提交包含管理員角色指定的CSV文件：

$args = [
    'first_name' => !empty($row['name']) ? $row['name'] : '',
    // 其他用戶詳情...
    'role' => !empty($row['role']) ? $row['role'] : '',
];

修復(fù)方案

Themewinter已在2025年4月30日發(fā)布的4.0.27版本中修復(fù)該漏洞，通過實施適當?shù)臋?quán)限檢查并限制用戶導(dǎo)入期間允許的角色：

public function import_item_permissions_check($request) {
    return current_user_can('etn_manage_organizer') || current_user_can('etn_manage_event');
}

安全專家強烈建議使用Eventin插件的WordPress網(wǎng)站管理員立即升級至4.0.27或更高版本。無法立即升級的用戶應(yīng)考慮暫時禁用該插件，由于此漏洞無需認證即可利用，其在野利用風險極高。