高危 WordPress 插件漏洞威胁超一万个网站安全

漏洞概述

热门WordPress插件Eventin近日曝出严重权限提升漏洞（CVE-2025-47539），高危导致超过10,洞威000个网站面临完全被控制的风险
。该漏洞允许未认证攻击者无需用户交互即可创建管理员账户，胁超从而完全掌控受影响网站。个网站安全研究人员强烈建议用户立即升级至4.0.27版本，安全该版本已包含针对此关键漏洞的免费模板高危修复补丁。

影响范围

由Themewinter开发的洞威Eventin插件被广泛用于WordPress网站的活动管理功能。由于该插件在数千个网站中的胁超广泛部署，云计算使得该漏洞影响尤为严重。个网站成功利用此漏洞可能导致网站篡改 、安全数据窃取、高危恶意软件注入 ，洞威或被用于更大规模的胁超僵尸网络攻击。源码下载

技术细节

Patchstack研究人员发现
，个网站漏洞源于Eventin插件中处理演讲者导入功能的安全REST API端点存在安全缺陷
。该漏洞最初由安全研究员Denver Jackson于2025年4月19日通过Patchstack零日漏洞赏金计划报告 ，并因此获得600美元奖励 。

漏洞的服务器租用核心问题在于import_item_permissions_check()函数仅简单返回true而未执行任何实际权限验证  ：

复制public function import_item_permissions_check($request) { return true; }1.

这种实现方式允许任何未认证用户访问该端点 。结合处理导入用户数据时缺乏角色验证的缺陷，攻击者可以提交包含管理员角色指定的CSV文件 ：

复制$args = [ first_name => !empty($row[name]) ? $row[name] : , // 其他用户详情... role => !empty($row[role]) ? $row[role] : , ];1.2.3.4.5. 修复方案

Themewinter已在2025年4月30日发布的4.0.27版本中修复该漏洞
，高防服务器通过实施适当的权限检查并限制用户导入期间允许的角色 ：

复制public function import_item_permissions_check($request) { return current_user_can(etn_manage_organizer) || current_user_can(etn_manage_event); }1.2.3.

安全专家强烈建议使用Eventin插件的WordPress网站管理员立即升级至4.0.27或更高版本 。无法立即升级的用户应考虑暂时禁用该插件 ，模板下载由于此漏洞无需认证即可利用 ，其在野利用风险极高。