CVE-2025-64274CVE-2025-64274是WordPress插件WPKoi Templates for Elementor中的一个高危安全漏洞,CVSS评分4.3,属于中等严重程度。该漏洞为缺失授权控制(Broken Access Control)类型,存在于插件的访问控制权限验证机制中。攻击者可以利用此漏洞绕过正常的权限检查,执行其本不应该有权限进行的操作。漏洞影响范围涵盖插件3.4.4及以下所有版本。由于WordPress插件广泛部署于全球数百万网站,此类授权缺陷可能导致敏感数据泄露、未授权配置修改等安全问题。建议受影响的网站管理员立即采取修复措施,将插件升级至最新版本以消除安全风险。
该漏洞属于OWASP Top 10中的A01:2021 - Broken Access Control类别。WPKoi Templates for Elementor插件在处理用户请求时未能正确验证用户权限,导致低权限用户(如订阅者角色)可以访问或操作本应仅限管理员角色的功能。攻击者可通过构造特定的HTTP请求,绕过前端权限检查,直接调用后端API端点或功能函数。典型的利用方式包括:1) 通过遍历用户ID或利用不安全的直接对象引用(IDOR);2) 调用未经验证的admin-ajax.php或REST API端点;3) 访问本应受保护的管理面板功能。此类漏洞通常由于开发者过度信任客户端输入或遗漏关键权限检查代码导致。修复方案需在所有敏感操作前添加current_user_can()等权限验证函数。