WordPress主题 Motors 9.8分高危漏洞被修复：被利用可完全控制网站

　　5 月 21 日消息，科技媒体 bleepingcomputer 今天(5 月 21 日)发布博文，报道称 WordPress 高级主题 Motors 被发现提权漏洞，未经身份验证的攻击者可利用该漏洞劫持管理员账户，完全控制网站。

　　IT之家查询公开资料，Motors 主题是一款面向汽车行业的 WordPress 高级主题，由 StylemixThemes 开发，深受车商、租赁公司及二手车平台青睐。据统计，该主题在 Envato 市场销量已超 22300 份，拥有活跃用户社区和数千条评论。

　　网络安全公司 Wordfence 发布博文，披露该主题存在严重权限提升漏洞，编号为 CVE-2025-4322，CVSS 漏洞得分为 9.8 分(满分 10 分，分数越高，代表危险程度越大)，源于主题在更新用户密码前未严格验证身份，导致未经授权的攻击者能随意修改包括管理员在内的任意用户密码，进而接管账户。

　　攻击者一旦获取管理员权限，可植入恶意软件、窃取数据库内容和敏感用户信息，甚至将访客重定向至危险网站。

　　漏洞影响 Motors 主题 5.6.67 及以下所有版本。StylemixThemes 已迅速响应，于 2025 年 5 月 14 日推出 5.6.68 版本，彻底修复了这一问题。

　　WordPress 主题是网站核心组件，无法轻易停用或替换，因此专家强烈建议用户尽快升级至最新版本。厂商提供了详细的更新指南，支持通过 WordPress 面板、Envato API 或 FTP 手动更新，同时提醒用户在操作前备份网站，以防数据丢失。