概述
CVE-2025-13539是一个影响WordPress FindAll Membership插件的严重身份验证绕过漏洞,CVSS评分为9.8(严重级别)。
漏洞描述
FindAll Membership插件在所有1.0.4及之前版本中存在身份验证绕过漏洞。该漏洞源于插件未能正确使用通过findall_membership_check_facebook_user和findall_membership_check_google_user函数验证的用户数据。这使得未经身份验证的攻击者能够以管理员身份登录,只要他们在网站上有一个现有账户(可通过临时用户功能默认轻松创建)并能够访问管理员的电子邮件。
漏洞时间线
- 发布日期:2025年11月27日 上午5:16
- 最后修改:2025年11月27日 上午5:16
- 远程利用:是
- 来源:security@wordfence.com
受影响产品
目前尚未记录受影响的具体产品信息。
CVSS评分
| 评分 | 版本 | 严重性 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 9.8 | CVSS 3.1 | 严重 | 3.9 | 5.9 | security@wordfence.com |
解决方案
- 更新FindAll Membership插件至最新版本
- 验证身份验证绕过漏洞是否已解决
- 如不需要,移除或禁用临时用户功能
- 检查用户账户是否存在未授权访问
参考链接
CWE关联
CWE-288:使用替代路径或通道进行身份验证绕过
CAPEC攻击模式
- CAPEC-127:目录索引
- CAPEC-665:利用Thunderbolt保护缺陷
漏洞历史记录
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 新增 | 描述 | FindAll Membership插件存在身份验证绕过漏洞... | |
| 新增 | CVSS V3.1 | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | |
| 新增 | CWE | CWE-288 | |
| 新增 | 参考 | themeforest.net/... | |
| 新增 | 参考 | www.wordfence.com/... |
