WordPress插件曝严重漏洞,攻击者可无认证注册管理员账户
WordPress是一款开源的、基于PHP和MySQL的内容管理系统(CMS)。它最初在2003年发布,由Matt Mullenweg和Mike Little共同开发。 “根据2025年6月25日发布的CVE-2025-4334官方记录,WordPress插件Simple User Registration(≤6.3)被确认存在权限管理缺陷。该漏洞允许远程攻击者通过构造恶意注册请求获取管理员权限。
WordPress是一款开源的、基于PHP和MySQL的内容管理系统(CMS)。它最初在2003年发布,由Matt Mullenweg和Mike Little共同开发。
图片来源:haitheme
根据deppseek回答,全球 43% 以上网站 使用 WordPress,涵盖个人博客、企业官网、电商平台等。
图片来源:WP中文网
▶ 漏洞核心问题
漏洞类型:权限管理不当(Improper Privilege Management)
技术原因:
▶ 攻击影响(CVSS:3.1向量解析)[td]插件在注册流程中对用户元数据(User Meta Values)的限制存在缺陷,导致未经身份验证的攻击者可篡改关键权限参数,直接以管理员身份完成账户注册。
| 攻击维度 | 风险等级 | 说明 |
| 攻击途径 | 网络远程 | 无需物理接触即可远程利用 |
| 攻击复杂度 | 低 | 无复杂技术要求 |
| 所需权限 | 无 | 无需任何登录凭证 |
| 用户交互 | 无 | 受害者零操作即可触发 |
| 影响范围 | 单一系统 | 仅影响当前WordPress站点 |
| 完整危害 | 极高 | 完全控制网站+数据窃取+恶意操作 |
成功利用此漏洞的攻击者能够:
创建拥有最高权限的管理员账户
篡改网站内容、植入后门程序
窃取用户数据库(含密码、支付信息等)
将网站变为恶意软件分发平台
✅ 立即行动:
进入WordPress后台 → 【插件】→ 【已安装插件】→ 停用Simple User Registration插件
检查插件版本:若版本号≤6.3(或更高未修复版本),必须保持禁用状态
扫描服务器:检查是否存在异常管理员账户(如近期创建的陌生账号)
⚠️ 重要警示:
网上已有公开POC:https://github.com/Nxploited/CVE-2025-4334/tree/main
▶ 后续防护建议// Adding profile fields into user meta
function setting_user_meta() {
// Adding form id field in meta
$this->set_meta( 'wpr_form_id', $this->form->form_id);
// Adding extra fields in meta
foreach( $this->singup_data as $type => $fields ) {
// Skipp core fields
if( $type == 'wp_field' ) continue;
foreach( $fields as $key => $value ) {
$value = apply_filters('wpr_meta_value', $value, $key, $this);
$this->set_meta( $key, $value );
}
}
}
▸ 持续关注插件更新动态
▸ 启用Web应用防火墙(WAF)拦截异常注册请求
▸ 审计近期注册用户:重点排查权限异常的账户
▸ 考虑替代插件:如WP-Members或Ultimate Member
深度求索安全团队提示:
"该漏洞利用门槛极低且危害极大,任何未停用插件的网站都处于裸奔状态。即使不需要用户注册功能,只要插件启用,攻击者即可乘虚而入。"
关于作者
评论6次
WP的漏洞一般都出现在插件问题上,核心基本上没有出过问题,我很少碰这些插件。
@Jellyfish 默认没有这个插件 使用这个插件的也很少
这个Simple User Registration插件使用的场景多吗?有无大佬知道这个是默认的还是得手动加上去的👀
站长如果使用了此插件,一定要及时更新版本。避免被不法分子入侵。
虽然没装这个插件 但需要眼熟它
i没装这个插件