CVE-2025-0180 — 神龙十问 AI 深度分析摘要

🚨 **本质**：未对用户元数据做限制，导致权限绕过。 💥 **后果**：攻击者可直接**注册为管理员**，彻底接管站点。

🔍 **CWE-269**：权限提升漏洞。 📍 **缺陷点**：WordPress插件 **WP Foodbakery** 在处理用户注册/元数据时，缺乏严格的**权限校验**逻辑。

📦 **组件**：WordPress 插件 **WP Foodbakery**。 🏢 **厂商**：Chimpstudio。 📅 **版本**：**3.3版本及之前**的所有版本均受影响。

👑 **权限**：直接获取**管理员（Administrator）**权限。 📊 **数据**：可访问所有后台数据、修改网站配置、植入恶意代码，危害极大。

🚪 **门槛**：**极低**。 🔑 **认证**：**无需认证**（PR:N）。 🖱️ **交互**：**无需用户交互**（UI:N）。 🌐 **网络**：远程利用（AV:N）。

📜 **PoC**：当前数据中 **无** 公开 PoC。 🔥 **在野**：暂无在野利用报告，但鉴于CVSS满分潜力，需高度警惕。

🔎 **自查**：检查WordPress后台插件列表。 📋 **特征**：确认是否安装 **WP Foodbakery** 且版本 **≤ 3.3**。 🛠️ **工具**：使用WPScan或Wordfence扫描插件版本。

🛡️ **补丁**：数据未提供具体补丁链接。 💡 **建议**：立即访问官方主题市场（ThemeForest）或联系厂商 **Chimpstudio** 获取 **3.4+** 安全版本。

⚠️ **临时规避**： 1. **禁用/卸载**该插件。 2. 若必须使用，暂时**关闭用户注册功能**。 3. 严格限制后台访问IP。

🔥 **优先级**：**紧急**。 📈 **CVSS**：**9.8**（Critical）。 🚀 **行动**：立即升级或停用，这是**远程代码执行**级别的威胁，切勿拖延。