TACERT台灣學術網路危機處理中心

※安全通報資訊

安全通報類型	其它安全通報
發佈日期	2025-12-23
標題	【漏洞預警】WordPress擴充程式與網頁主題存在10個高風險安全漏洞，請儘速確認並進行修補
CVE	CVE-2025-67522、CVE-2025-67523、CVE-2025-67524、CVE-2025-67525、CVE-2025-67526、CVE-2025-67527、CVE-2025-67529、CVE-2025-67530、CVE-2025-67531及CVE-2025-67532
BID
影響平台	【擴充程式】Jobmonster Elementor Addon 1.1.4(含)以前版本【網頁主題】更新至Jobmonster 4.8.3(含)以後版本【網頁主題】更新至Exhibz 3.0.10(含)以後版本【網頁主題】更新至ekommart 4.3.1(含)以後版本【網頁主題】更新至Digiqole 2.2.7(含)以後版本【網頁主題】更新至Sailing 4.4.6(含)以後版本【網頁主題】更新至Fashion 5.3.0(含)以後版本【網頁主題】更新至Besa 2.3.16(含)以後版本【網頁主題】更新至Turitor 1.5.3(含)以後版本【網頁主題】更新至Hara 1.2.18(含)以後版本
說明	發佈編號：TACERT-ANA-2025122301124444 (轉發國家資安資訊分享與分析中心資安訊息警訊 NISAC-200-202512-00000155) 研究人員發現WordPress擴充程式與網頁主題存在PHP本機檔案包含(PHP Local File Inclusion)漏洞(CVE-2025-67522、CVE-2025-67523、CVE-2025-67524、CVE-2025-67525、CVE-2025-67526、CVE-2025-67527、CVE-2025-67529、CVE-2025-67530、CVE-2025-67531及CVE-2025-67532)。未經身分鑑別之遠端攻擊者可利用此漏洞，誘使伺服器端PHP程式載入本機非預期檔案，並於伺服器端執行任意程式碼，請儘速確認並進行修補。情資分享等級: WHITE(情資內容為可公開揭露之資訊)
解決方式	[建議措施:] 【擴充程式】更新至Jobmonster Elementor Addon 1.1.5(含)以後版本【網頁主題】更新至Jobmonster 4.8.3(含)以後版本【網頁主題】更新至Exhibz 3.0.10(含)以後版本【網頁主題】更新至ekommart 4.3.1(含)以後版本【網頁主題】更新至Sailing 4.4.6(含)以後版本【網頁主題】更新至Digiqole 2.2.7(含)以後版本【網頁主題】更新至Fashion 5.3.0(含)以後版本【網頁主題】更新至Besa 2.3.16(含)以後版本【網頁主題】更新至Turitor 1.5.3(含)以後版本【網頁主題】更新至Hara 1.2.18(含)以後版本 [參考資料:] 1. https://www.cve.org/CVERecord?id=CVE-2025-67522 2. https://www.cve.org/CVERecord?id=CVE-2025-67523 3. https://www.cve.org/CVERecord?id=CVE-2025-67524 4. https://www.cve.org/CVERecord?id=CVE-2025-67525 5. https://www.cve.org/CVERecord?id=CVE-2025-67526 6. https://www.cve.org/CVERecord?id=CVE-2025-67527 7. https://www.cve.org/CVERecord?id=CVE-2025-67529 8. https://www.cve.org/CVERecord?id=CVE-2025-67530 9. https://www.cve.org/CVERecord?id=CVE-2025-67531 10. https://www.cve.org/CVERecord?id=CVE-2025-67532
相關資訊連結
相關修正資訊連結