漏洞概述

熱門WordPress插件Eventin近日曝出嚴(yán)重權(quán)限提升漏洞（CVE-2025-47539），導(dǎo)致超過10,000個(gè)網(wǎng)站面臨完全被控制的風(fēng)險(xiǎn)。該漏洞允許未認(rèn)證攻擊者無需用戶交互即可創(chuàng)建管理員賬戶，從而完全掌控受影響網(wǎng)站。安全研究人員強(qiáng)烈建議用戶立即升級(jí)至4.0.27版本，該版本已包含針對(duì)此關(guān)鍵漏洞的修復(fù)補(bǔ)丁。

影響范圍

由Themewinter開發(fā)的Eventin插件被廣泛用于WordPress網(wǎng)站的活動(dòng)管理功能。由于該插件在數(shù)千個(gè)網(wǎng)站中的廣泛部署，使得該漏洞影響尤為嚴(yán)重。成功利用此漏洞可能導(dǎo)致網(wǎng)站篡改、數(shù)據(jù)竊取、惡意軟件注入，或被用于更大規(guī)模的僵尸網(wǎng)絡(luò)攻擊。

技術(shù)細(xì)節(jié)

Patchstack研究人員發(fā)現(xiàn)，漏洞源于Eventin插件中處理演講者導(dǎo)入功能的REST API端點(diǎn)存在安全缺陷。該漏洞最初由安全研究員Denver Jackson于2025年4月19日通過Patchstack零日漏洞賞金計(jì)劃報(bào)告，并因此獲得600美元獎(jiǎng)勵(lì)。

漏洞的核心問題在于import_item_permissions_check()函數(shù)僅簡(jiǎn)單返回true而未執(zhí)行任何實(shí)際權(quán)限驗(yàn)證：

public function import_item_permissions_check($request) { return true; }

這種實(shí)現(xiàn)方式允許任何未認(rèn)證用戶訪問該端點(diǎn)。結(jié)合處理導(dǎo)入用戶數(shù)據(jù)時(shí)缺乏角色驗(yàn)證的缺陷，攻擊者可以提交包含管理員角色指定的CSV文件：

$args = [
    'first_name' => !empty($row['name']) ? $row['name'] : '',
    // 其他用戶詳情...
    'role' => !empty($row['role']) ? $row['role'] : '',
];

修復(fù)方案

Themewinter已在2025年4月30日發(fā)布的4.0.27版本中修復(fù)該漏洞，通過實(shí)施適當(dāng)?shù)臋?quán)限檢查并限制用戶導(dǎo)入期間允許的角色：

public function import_item_permissions_check($request) {
    return current_user_can('etn_manage_organizer') || current_user_can('etn_manage_event');
}

安全專家強(qiáng)烈建議使用Eventin插件的WordPress網(wǎng)站管理員立即升級(jí)至4.0.27或更高版本。無法立即升級(jí)的用戶應(yīng)考慮暫時(shí)禁用該插件，由于此漏洞無需認(rèn)證即可利用，其在野利用風(fēng)險(xiǎn)極高。