【漏洞情报】WordPress FindAll Membership插件身份验证绕过漏洞分析
【漏洞情报】WordPress FindAll Membership插件身份验证绕过漏洞分析
qife122
发布于 2025-12-24 13:54:49
发布于 2025-12-24 13:54:49
概述
CVE-2025-13539是一个影响WordPress FindAll Membership插件的严重身份验证绕过漏洞,CVSS评分为9.8(严重级别)。
漏洞描述
FindAll Membership插件在所有1.0.4及之前版本中存在身份验证绕过漏洞。该漏洞源于插件未能正确使用通过findall_membership_check_facebook_user和findall_membership_check_google_user函数验证的用户数据。这使得未经身份验证的攻击者能够以管理员身份登录,只要他们在网站上有一个现有账户(可通过临时用户功能默认轻松创建)并能够访问管理员的电子邮件。
CVSS评分
评分 | 版本 | 严重性 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
9.8 | CVSS 3.1 | 严重 | 3.9 | 5.9 | security@wordfence.com |
解决方案
- 更新FindAll Membership插件至最新版本
- 验证身份验证绕过漏洞是否已解决
- 如不需要,移除或禁用临时用户功能
- 检查用户账户是否存在未授权访问
参考链接
- https://themeforest.net/item/findall-business-directory-theme/24415962
- https://www.wordfence.com/threat-intel/vulnerabilities/id/a856a96a-68d2-462d-b523-840668980807?source=cve
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2025-11-30,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号