一、漏洞簡述
研究人員發現 WordPress 擴充程式與網頁主題存在 PHP 本機檔案包含(PHP Local File Inclusion, LFI)漏洞(CVE-2025-67522、CVE-2025-67523、CVE-2025-67524、CVE-2025-67525、CVE-2025-67526、CVE-2025-67527、CVE-2025-67529、CVE-2025-67530、CVE-2025-67531、CVE-2025-67532)。
未經身分鑑別之遠端攻擊者可利用此漏洞,誘使伺服器端 PHP 程式載入本機非預期檔案,進而於伺服器端執行任意程式碼,風險等同於網站遭遠端接管,請儘速修補。
二、設備/版本影響
【擴充程式】
-
Jobmonster Elementor Addon 1.1.4(含)以前版本
【網頁主題】
-
Jobmonster 4.8.2(含)以前版本
-
Exhibz 3.0.9(含)以前版本
-
ekommart 4.3.1(不含)以前版本
-
Sailing 4.4.6(不含)以前版本
-
Digiqole 2.2.7(不含)以前版本
-
Fashion 5.3.0(不含)以前版本
-
Besa 2.3.15(含)以前版本
-
Turitor 1.5.3(不含)以前版本
-
Hara 1.2.17(含)以前版本
三、建議處置
【擴充程式】
更新至Jobmonster Elementor Addon 1.1.5(含)以後版本
【網頁主題】
更新至Jobmonster 4.8.3(含)以後版本
更新至Exhibz 3.0.10(含)以後版本
更新至ekommart 4.3.1(含)以後版本
更新至Sailing 4.4.6(含)以後版本
更新至Digiqole 2.2.7(含)以後版本
更新至Fashion 5.3.0(含)以後版本
更新至Besa 2.3.16(含)以後版本
更新至Turitor 1.5.3(含)以後版本
更新至Hara 1.2.18(含)以後版本
四、相關連結