WordPress 热门主题 Motors 爆严重提权漏洞：攻击者可劫持管理员账户

据科技媒体 bleepingcomputer 报道，知名 WordPress 高级主题 Motors 被曝存在一个高危权限提升漏洞，攻击者无需登录即可接管网站管理员权限，威胁网站安全。

Motors 主题由 StylemixThemes 开发，专为汽车销售、租赁、二手车交易等行业设计，在 Envato 市场累计销量超过 22,300 份，是业内广受欢迎的商业主题。该漏洞被分配编号 CVE-2025-4322，由网络安全公司 Wordfence 首次披露，CVSS 评分高达 9.8 分（满分 10 分），属于极其严重的安全隐患。

漏洞根源在于，Motors 主题在处理用户密码重置时缺乏身份验证机制，允许未登录的攻击者修改任意用户（包括管理员）的密码，随后以该用户身份登录网站，获得完整控制权限。

攻击者入侵后可执行多种恶意操作，包括但不限于：注入后门木马、窃取数据库信息、操控用户数据、将网站流量重定向至钓鱼或恶意页面等。

此次漏洞影响 5.6.67 及更早版本，所幸 StylemixThemes 已于 2025 年 5 月 14 日发布 5.6.68 更新版，修复该问题。安全专家提醒所有使用该主题的网站管理员，应立即更新至最新版，并在更新前做好站点备份。

厂商已提供详细的更新说明，用户可通过 WordPress 后台自动升级，或通过 Envato API 和 FTP 方式手动部署新版。