【漏洞預警】WordPress擴充程式與網頁主題存在6個安全漏洞 (CVE-2025-13536) (CVE-2025-13538) (CVE-2025-13539) (CVE-2025-13540) (CVE-2025-13615) (CVE-2025-13675),請儘速確認並進行修補

【漏洞預警】WordPress擴充程式與網頁主題存在6個安全漏洞 (CVE-2025-13536) (CVE-2025-13538) (CVE-2025-13539) (CVE-2025-13540) (CVE-2025-13615) (CVE-2025-13675),請儘速確認並進行修補

2025.12.05 發佈

[內容說明]

轉發 國家資安資訊分享與分析中心 資安訊息警訊 NISAC-200-202512-00000041

研究人員發現 WordPress 擴充程式與網頁主題存在 6 個高風險漏洞,請儘速確認並進行修補。

  • 1. Blubrry PowerPress — 任意檔案上傳漏洞 (CVE-2025-13536):一般權限攻擊者可上傳並執行後門程式,達成遠端程式碼執行。
  • 2. FindAll Listing、Tiare Membership 與 Tiger 主題 — 權限提升漏洞 (CVE-2025-13538、CVE-2025-13540、CVE-2025-13675):攻擊者可在註冊時指定管理者角色,取得網站管理權限。
  • 3. FindAll Membership — 身分鑑別繞過漏洞 (CVE-2025-13539):在特定條件下,攻擊者能以管理員身分登入。
  • 4. StreamTube Core — 任意使用者密碼變更漏洞 (CVE-2025-13615):攻擊者可變更任意帳號密碼並接管管理員帳號。

WordPress 擴充程式與主題數量龐大,時常出現重大漏洞。建議定期更新核心程式、外掛與主題,未使用之外掛/主題應移除。

[影響平台]

  • Blubrry PowerPress 11.15.2(含)以前版本
  • FindAll Listing 1.0.5(含)以前版本
  • FindAll Membership 1.0.4(含)以前版本
  • Tiare Membership 1.2(含)以前版本
  • StreamTube Core 4.78(含)以前版本
  • Tiger 網頁主題 101.2.1(含)以前版本

[建議措施]

  • 更新 Blubrry PowerPress 至 11.15.3(含)以後版本
  • 更新 FindAll Listing 至 1.1(含)以後版本
  • 更新 FindAll Membership 至 1.1(含)以後版本
  • 更新 Tiare Membership 至 1.3(含)以後版本
  • 更新 StreamTube Core 至 4.79(含)以後版本
  • Tiger 主題:請參考官方公告 官方連結

[參考資料]