【安全资讯】Premium WordPress 'Motors'主题存在管理员接管攻击漏洞

概要：

近期，Premium WordPress主题Motors被发现存在严重的权限提升漏洞，允许未经身份验证的攻击者接管管理员账户，完全控制网站。此漏洞的发现对使用该主题的汽车行业企业构成了重大安全威胁。

主要内容：

Motors主题由StylemixThemes开发，是WordPress平台上最畅销的汽车主题之一，广泛应用于汽车经销商、租赁服务和二手车列表平台。根据Wordfence的公开披露，该漏洞被追踪为CVE-2025-4322，影响所有版本的Motors主题，直到5.6.67版本。该漏洞的根本原因在于主题在更新用户密码时未能正确验证用户身份，导致攻击者能够更改任意用户的密码，包括管理员账户。

一旦攻击者获得管理员级别的访问权限，他们可以植入恶意软件、窃取数据库内容和敏感用户信息，甚至将访问者重定向到危险网站。StylemixThemes已于2025年5月14日发布了修复该漏洞的Motors版本5.6.68。由于WordPress主题是网站的核心组件，无法轻易禁用或替换，因此尽快升级到最新版本至关重要。

在更新主题组件之前，建议用户备份网站以防止潜在的数据丢失。尽管该问题不影响在数百万个网站上活跃的WordPress插件，但仍然构成了显著的安全风险。考虑到Motors主题的价格为79美元（常规许可证）和2000美元（扩展许可证），它更可能被部署在活跃网站或商业网站上，进一步增加了潜在的攻击面。