发布日期：2025-05-31
更新日期：2025-08-04

受影响系统：

WordPress Offsprout Page Builder plugin >= 2.2.1 <= 2.15.2

描述：

---

CVE(CAN) ID: CVE-2025-4672

The Offsprout Page Builder plugin是可以安装在WordPress中的插件，用于布局和设计页面。
WordPress The Offsprout Page Builder plugin 2.2.1至2.15.2版本中存在权限提升漏洞，该漏洞源于permission_callback()函数中的不合理授权，经过贡献者及更高角色权限认证的攻击者可以读取、创建、升级或删除任意用户元数据，包括将wp_capabilities提升至管理员权限。

<**>

建议：

---

厂商补丁：

WordPress
---------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://wordpress.org/plugins/offsprout-page-builder/#developers

浏览次数：26
严重程度：0（网友投票）