https://blog.qife122.com/tags/cve-2025-9191/ Recent content in CVE-2025-9191 on 办公AI智能小助手 Hugo zh-cn qife Mon, 29 Dec 2025 12:23:08 +0800 https://blog.qife122.com/p/wordpress-houzez-%E4%B8%BB%E9%A2%98%E4%B8%AD%E7%9A%84%E8%AE%A4%E8%AF%81php%E5%AF%B9%E8%B1%A1%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Mon, 29 Dec 2025 12:23:08 +0800 https://blog.qife122.com/p/wordpress-houzez-%E4%B8%BB%E9%A2%98%E4%B8%AD%E7%9A%84%E8%AE%A4%E8%AF%81php%E5%AF%B9%E8%B1%A1%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h2 id="cve-2025-9191---houzez--416---认证用户订阅者及以上权限通过保存搜索功能实现php对象注入">CVE-2025-9191 - Houzez &lt;= 4.1.6 - 认证用户（订阅者及以上权限）通过保存搜索功能实现PHP对象注入</h2> <h3 id="概述">概述</h3> <h3 id="漏洞描述">漏洞描述</h3> <p>WordPress的Houzez主题在4.1.6及之前的所有版本中，通过<code>saved-search-item.php</code>文件对不可信输入进行反序列化，存在PHP对象注入漏洞。这使得拥有订阅者及以上权限的认证攻击者能够注入PHP对象。</p>