5 月 21 日消息，科技媒體 bleepingcomputer 今天（5 月 21 日）發(fā)布博文，報道稱 WordPress 高級主題 Motors 被發(fā)現(xiàn)提權漏洞，未經(jīng)身份驗證的攻擊者可利用該漏洞劫持管理員賬戶，完全控制網(wǎng)站。

查詢公開資料，Motors 主題是一款面向汽車行業(yè)的 WordPress 高級主題，由 StylemixThemes 開發(fā)，深受車商、租賃公司及二手車平臺青睞。據(jù)統(tǒng)計，該主題在 Envato 市場銷量已超 22300 份，擁有活躍用戶社區(qū)和數(shù)千條評論。

網(wǎng)絡安全公司 Wordfence 發(fā)布博文，披露該主題存在嚴重權限提升漏洞，編號為 CVE-2025-4322，CVSS 漏洞得分為 9.8 分（滿分 10 分，分數(shù)越高，代表危險程度越大），源于主題在更新用戶密碼前未嚴格驗證身份，導致未經(jīng)授權的攻擊者能隨意修改包括管理員在內(nèi)的任意用戶密碼，進而接管賬戶。

攻擊者一旦獲取管理員權限，可植入惡意軟件、竊取數(shù)據(jù)庫內(nèi)容和敏感用戶信息，甚至將訪客重定向至危險網(wǎng)站。

漏洞影響 Motors 主題 5.6.67 及以下所有版本。StylemixThemes 已迅速響應，于 2025 年 5 月 14 日推出 5.6.68 版本，徹底修復了這一問題。

WordPress 主題是網(wǎng)站核心組件，無法輕易停用或替換，因此專家強烈建議用戶盡快升級至最新版本。廠商提供了詳細的更新指南，支持通過 WordPress 面板、Envato API 或 FTP 手動更新，同時提醒用戶在操作前備份網(wǎng)站，以防數(shù)據(jù)丟失。