WordPress FindAll Membership 插件身份验证绕过漏洞分析

概述

CVE-2025-13539 是一个影响 WordPress FindAll Membership 插件的严重身份验证绕过漏洞，CVSS 评分为 9.8（严重级别）。

漏洞描述

FindAll Membership 插件在所有 1.0.4 及之前版本中存在身份验证绕过漏洞。该漏洞源于插件未能正确使用通过findall_membership_check_facebook_user和findall_membership_check_google_user函数验证的用户数据。这使得未经身份验证的攻击者能够以管理员身份登录，只要他们在网站上有一个现有账户（可通过临时用户功能默认轻松创建）并能够访问管理员的电子邮件。

漏洞时间线

• 发布日期：2025 年 11 月 27 日 上午 5:16

• 最后修改：2025 年 11 月 27 日 上午 5:16

• 远程利用：是

• 来源：security@wordfence.com

受影响产品

目前尚未记录受影响的具体产品信息。

CVSS 评分

解决方案

• 更新 FindAll Membership 插件至最新版本

• 验证身份验证绕过漏洞是否已解决

• 如不需要，移除或禁用临时用户功能

• 检查用户账户是否存在未授权访问

参考链接

• https://themeforest.net/item/findall-business-directory-theme/24415962

• https://www.wordfence.com/threat-intel/vulnerabilities/id/a856a96a-68d2-462d-b523-840668980807?source=cve

CWE 关联

CWE-288：使用替代路径或通道进行身份验证绕过

CAPEC 攻击模式

• CAPEC-127：目录索引

• CAPEC-665：利用 Thunderbolt 保护缺陷

漏洞历史记录

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享