WPvivid Backup & Migration 任意文件上传漏洞

漏洞信息

漏洞名称： WPvivid Backup & Migration 任意文件上传漏洞

漏洞编号：

• CVE： CVE-2025-5961

漏洞类型： 文件上传

漏洞等级： 高危

漏洞描述： WPvivid Backup & Migration 是一款流行的WordPress插件，主要用于网站的迁移、备份和暂存功能。它允许用户轻松地备份网站数据、迁移到新的主机或暂存环境中进行测试。由于其易用性和强大的功能，该插件在WordPress社区中被广泛使用。该插件在版本0.9.116及之前存在一个认证后的任意文件上传漏洞。漏洞的根源在于插件未能正确验证管理员用户上传的文件类型和内容，导致攻击者可以上传恶意文件到服务器。这一漏洞需要攻击者拥有管理员权限才能利用，但一旦利用成功，攻击者可以上传任意文件，包括PHP脚本，从而可能导致远程代码执行（RCE）。这种漏洞的存在严重威胁到网站的安全性，因为它不仅允许攻击者执行任意代码，还可能进一步导致数据泄露、网站篡改或其他恶意活动。由于需要管理员权限，这种漏洞的利用门槛相对较高，但对于已经获得管理员权限的攻击者或通过其他方式提升权限的攻击者来说，这是一个非常危险的漏洞。

产品厂商： WPvivid

产品名称： WPvivid Backup & Migration

影响版本： <= 0.9.116

来源： https://github.com/Nxploited/CVE-2025-5961

类型： CVE-2025:github search

来源概述