CVE-2025-0912 — 神龙十问 AI 深度分析摘要

🚨 **本质**：反序列化不受信任输入，导致 PHP 对象注入。 💥 **后果**：直接引发 **远程代码执行 (RCE)**，服务器彻底沦陷。

🔍 **CWE**：CWE-502 (反序列化不受信任数据)。 📍 **缺陷点**：代码中直接处理了未经验证的输入数据，未做安全过滤。

🎯 **产品**：GiveWP – Donation Plugin and Fundraising Platform。 📦 **版本**：3.19.4 及 **之前所有版本** 均受影响。

👑 **权限**：攻击者可获取 **最高权限** (System/Root)。 📂 **数据**：完全控制服务器，可窃取数据库、植入后门、篡改网站内容。

🚪 **门槛**：**极低**。 📝 **条件**：无需认证 (PR:N)，无需用户交互 (UI:N)，网络可达即可利用 (AV:N)。

🧪 **Exp**：官方参考链接已提供修复代码 (DonorRepository.php 等)。 🌍 **在野**：数据未显示已有公开 PoC 或大规模在野利用，但风险极高。

🔎 **自查**：检查 WordPress 后台插件列表。 📋 **特征**：确认是否安装 **GiveWP** 插件，且版本号 **≤ 3.19.4**。

🛡️ **补丁**：**已修复**。 📅 **时间**：2025-03-04 公布。 🔗 **来源**：StellarWP 官方已发布修复版本 (Changeset 3234114)。

⚠️ **临时规避**：立即 **升级** 到最新版本。 🚫 **替代**：若无法升级，暂时 **禁用** GiveWP 插件，或限制插件目录写入权限。

🔥 **优先级**：**紧急 (Critical)**。 📈 **CVSS**：9.8 (极高危)。 💡 **建议**：立即行动，这是典型的 RCE 漏洞，不修补等于裸奔。