漏洞概述
WordPress 插件 The Events Calendar 在 6.15.13 及之前版本中存在权限校验缺失问题,攻击者在拥有订阅者(Subscriber)及以上权限的情况下,可未经授权调用 ‘start_migration’、’cancel_migration’ 和 ‘revert_migration’ 函数,执行自定义表 V1 数据库迁移的启动、取消或回滚操作,其中回滚操作可能导致自定义数据库表被完全删除。
漏洞详情
- CVE 编号:CVE-2025-15043
- 漏洞类型:缺少授权检查(CWE-862)
- CVSS 评分:5.4(中危)
- 影响版本:The Events Calendar 插件 ≤ 6.15.13
影响范围
所有使用 WordPress 插件 The Events Calendar 且版本号小于或等于 6.15.13 的站点均受影响。只要攻击者拥有任意已认证账户(如 Subscriber 角色),即可利用该漏洞对数据库迁移流程进行非授权干预。
风险分析
该漏洞允许低权限用户执行本应仅限管理员操作的数据库迁移控制功能。特别是 ‘revert_migration’ 操作会删除自定义数据库表,可能导致数据丢失或服务异常。虽然不涉及远程代码执行或信息泄露,但可能造成完整性和可用性受损,影响网站正常运行。
修复建议
- 立即升级 The Events Calendar 插件至 6.15.13.1 或更高版本,该版本已修复此权限校验问题。
- 若暂时无法升级,建议限制用户注册或移除不必要的低权限账户,以降低潜在攻击面。
