資安快訊：今日重要 CVE（2026-06-21）

今日兩則高風險漏洞都集中在 WordPress 外掛生態，若你的網站使用 Beaver Builder 擴充或 WooCommerce，請優先確認版本與更新狀態。

CVE-2019-25763（嚴重度 CVSS 9.8）

影響

這個漏洞影響 WordPress 外掛 Ultimate Addons for Beaver Builder 1.2.4.1。漏洞出在社群媒體登入表單功能，攻擊者可對 admin-ajax.php 送出特定 POST 請求，搭配 uabb-lf-google-submit action、有效的管理員 email 與有效 nonce，取得 session cookies，進而以該使用者身分登入。

如果你維護的 WordPress 站台有使用 Beaver Builder 相關外掛，特別是 Ultimate Addons for Beaver Builder，這是需要立即檢查的項目。

該做什麼

請確認站台是否使用 Ultimate Addons for Beaver Builder 1.2.4.1。若有使用，應立即升級到不受影響的版本，或在完成修補前停用該外掛，避免攻擊者利用登入流程繞過驗證。

CVE-2022-50972（嚴重度 CVSS 9.8）

影響

這個漏洞影響 WooCommerce 7.1.0。漏洞允許攻擊者透過 product-type 參數注入 shell command，進而執行任意 PHP 程式碼。攻擊方式是向 class-wc-meta-box-product-images.php endpoint 傳送未清理的 product-type 值，並將惡意 PHP 檔寫入網站根目錄。

如果你的 WordPress 網站有使用 WooCommerce，尤其是自架商店、會員站、付費內容站，這類漏洞代表攻擊者可能直接在伺服器上執行程式碼。

該做什麼

請確認是否使用 WooCommerce 7.1.0。若是，應立即升級 WooCommerce 到不受影響的版本。在升級完成前，應避免讓該版本持續對外服務，並檢查網站根目錄是否出現非預期的 PHP 檔案。

資料來源：NVD

• CVE-2019-25763：https://nvd.nist.gov/vuln/detail/CVE-2019-25763
• CVE-2022-50972：https://nvd.nist.gov/vuln/detail/CVE-2022-50972