CVE-2025-8483 - Discussion Board WordPress论坛插件 <= 2.5.5 - 认证用户(订阅者+)任意短代码执行
概述
漏洞描述
Discussion Board WordPress论坛插件在2.5.5及以下所有版本中存在任意短代码执行漏洞。这是由于软件允许用户执行某个操作时,在运行do_shortcode之前未能正确验证值。这使得经过认证的攻击者(具有订阅者级别及以上权限)能够执行任意短代码。
基本信息
发布日期: 2025年10月25日 上午7:15
最后修改: 2025年10月25日 上午7:15
远程利用: 是
来源: security@wordfence.com
CVSS评分
评分: 6.3
版本: CVSS 3.1
严重程度: 中等
向量: AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
可利用性评分: 2.8
影响评分: 3.4
来源: security@wordfence.com
解决方案
- 更新WordPress论坛插件以修复任意短代码执行漏洞
- 将Discussion Board插件更新到最新版本
- 应用任何可用的安全补丁
- 如果不再需要,请移除该插件
相关参考
URL资源:
- https://plugins.trac.wordpress.org/changeset?sfp_email=&sfph_mail=&reponame=&old=3382300%40wp-discussion-board&new=3382300%40wp-discussion-board&sfp_email=&sfph_mail=
- https://www.wordfence.com/threat-intel/vulnerabilities/id/a09659bc-e42b-4f08-a1a1-23e226be1be9?source=cve
CWE - 常见弱点枚举
CWE-94: 代码生成控制不当(代码注入)
常见攻击模式枚举和分类(CAPEC)
- CAPEC-35: 在不可执行文件中利用可执行代码
- CAPEC-77: 操作用户控制的变量
- CAPEC-242: 代码注入
漏洞时间线
2025年10月25日:
- 新增漏洞描述
- 新增CVSS V3.1评分
- 新增CWE-94分类
- 新增相关参考链接