資安業者Wordfence指出,提供網站管理者建置會員系統的WordPress外掛程式User Registration & Membership,存在重大層級的未經身分驗證權限提升漏洞CVE-2025-2563,CVSS風險達到9.8分(滿分10分),影響4.1.1以下版本,全球有超過6萬網站採用。在他們向開發商WPEverest通報之後,他們推出4.1.2版予以修補。
什麼是User Registration & Membership?這是提供會員系統的外掛程式,能讓管理員無縫整合網站與會員系統生態圈,包含註冊表單、會員群組、登入介面、使用者個人資料、內容管制,以及一系列的工具。WPEverest號稱此外掛程式相當輕量,執行的反應靈敏。除此之外,他們也提供能支援附加元件的付費版本,網站管理員能進一步與電商網站外掛WooCommerce、付款流程、電子郵件行銷服務整合。
針對這項漏洞發生的原因,Wordfence指出是在特定的功能當中,出現角色類型限制不全的現象,導致未經授權的攻擊者只要藉由建立新的使用者帳號,就有機會得到管理員的角色。
