文章总结： RealHomesWordPress插件曝出CVE-2025-67968严重漏洞，CVSS评分9.9。因upload_csv_file函数缺失权限校验与文件验证，任意登录用户均可上传恶意代码并接管网站。该漏洞影响逾3万个站点，官方已在1.0.1版本修复，管理员应立即更新以防范入侵风险。 综合评分： 90 文章分类： 漏洞预警,漏洞分析,WEB安全,应用安全,代码审计

CVE-2025-67968 (CVSS 9.9)：RealHomes CRM插件严重漏洞使 30,000 个网站面临被接管的风险

sec随谈 sec随谈

sec随谈

2026年1月26日 08:44 北京

RealHomes CRM插件（热门WordPress主题Real Homes的核心组件）中发现了一个严重的安全 漏洞。该主题被超过3万个活跃网站使用，是房地产专业人士展示房产的必备工具。然而，编号为CVE-2025-67968的严重漏洞使得这些线上开放日活动成为网站全面入侵的潜在目标。

该漏洞的 CVSS 严重性评分接近最高值 9.9，攻击者可以利用该漏洞绕过安全检查，直接将恶意代码上传到服务器。

问题在于插件处理文件上传的方式。通常情况下，上传文件（尤其是代码）是管理员的专属权限。然而，在存在漏洞的 RealHomes CRM 版本中，这条权限界限几乎不存在。

根据安全公告，该漏洞允许“任何已登录用户通过上传 CSV 文件流程任意上传文件”。

这尤其危险，因为它不需要高级访问权限。“这意味着任何订阅用户或更高级别的用户都可以通过上传过程注入恶意代码，从而导致网站完全被控制”。在许多 WordPress 设置中，“订阅用户”是分配给所有注册用户的默认角色，这意味着攻击者的准入门槛极低。

问题的根本技术原因是未能验证上传的内容和上传者身份。漏洞存在于 upload_csv_file 函数中。

报告重点指出了代码中的两个关键缺陷：

• 缺少权限检查：“该函数没有适当的权限检查，允许用户通过 $_FILES[‘csv_file’] 提供任意文件”。
• 缺少文件验证：“最后，该函数没有进行正确的文件类型和名称检查，将直接通过 move_uploaded_file 将文件上传到服务器”。

这种组合实际上为攻击者上传 PHP shell 或其他恶意软件铺平了道路，使他们能够完全控制网站。

Inspiry Themes 的开发人员已迅速采取行动，解决这种“任意文件上传”漏洞。

该问题影响 RealHomes CRM 1.0.0 及更低版本。1.0.1 版本已发布补丁，引入了关键的安全措施。此次更新增加了“current_user_can 权限检查，确保只有合法且拥有特权的用户才能使用此 AJAX 操作”，从而有效防止未经授权的上传。

使用 Real Homes 主题的管理员务必立即更新其捆绑的插件，以防止其数字资产受到损害。

参考链接：

https://patchstack.com/articles/critical-arbitrary-file-upload-vulnerability-in-realhomes-crm-plugin-affecting-30k-sites/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《CVE-2025-67968 (CVSS 9.9)：RealHomes CRM插件严重漏洞使 30,000 个网站面临被接管的风险》