【安全资讯】黑客利用JobMonster WordPress主题关键认证绕过漏洞劫持管理员账户

概要：

近期，网络安全公司Wordfence发现黑客正积极利用JobMonster WordPress主题中的一项关键认证绕过漏洞（CVE-2025-5397），该漏洞允许攻击者在特定条件下接管管理员账户。这一事件突显了第三方主题安全漏洞对网站完整性的严重威胁，尤其影响依赖JobMonster的招聘和求职门户网站。

主要内容：

CVE-2025-5397漏洞源于JobMonster主题的check_login()函数未能正确验证用户身份，导致未认证攻击者可以绕过标准认证流程并获取管理员账户访问权限。该漏洞影响所有4.8.1及之前版本，严重性评分为9.8分。

攻击成功的关键前提是目标网站启用了社交登录功能（如“使用Google登录”）。JobMonster主题在未充分验证外部登录数据的情况下，错误信任这些凭据，使攻击者能够伪造管理员访问，而无需有效凭证。通常，攻击者还需知晓目标管理员的用户名或电子邮件地址。

Wordfence在过去24小时内已拦截多起利用尝试，并确认漏洞在JobMonster 4.8.2版本中修复。用户应立即升级至最新版本，若无法及时操作，可临时禁用社交登录功能作为缓解措施。此外，启用双因素认证、轮换凭据及检查访问日志也是推荐的安全实践。

此事件是近期WordPress主题系列攻击的一部分，凸显了及时更新插件和主题的重要性。延迟修补可能为威胁行为者提供长达一年的攻击窗口，导致网站完全被接管等严重后果。