CVE-2025-10134 — 神龙十问 AI 深度分析摘要
CVSS 9.1 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:文件路径验证不足。<br>💥 **后果**:攻击者可执行**任意文件删除**,导致服务不可用或数据永久丢失。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-73(外部控制文件路径)。<br>🐛 **缺陷**:Goza 插件未正确校验文件路径,导致路径遍历或非法访问。
Q3影响谁?(版本/组件)
📦 **组件**:Goza - Nonprofit Charity WordPress Theme。<br>🏷️ **厂商**:Bearsthemes。<br>⚠️ **版本**:**3.2.2 及之前版本**均受影响。
Q4黑客能干啥?(权限/数据)
🔓 **权限**:无需认证(PR:N)。<br>🗑️ **能力**:直接**删除服务器文件**。<br>📉 **影响**:完整性(I:H)和可用性(A:H)遭受严重破坏。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:**极低**。<br>🌐 **网络**:远程利用(AV:N)。<br>🛡️ **防护**:无需用户交互(UI:N),无需任何权限(PR:N)。
Q6有现成Exp吗?(PoC/在野利用)
📄 **PoC**:数据中未提供公开 PoC。<br>🌍 **在野**:暂无在野利用报告。<br>⚠️ **注意**:CVSS 评分高,风险极大,需警惕潜在利用。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 WordPress 站点是否安装 **Goza 主题**。<br>📋 **版本**:确认版本号为 **3.2.2 或更低**。<br>🛠️ **工具**:使用 WPScan 或厂商官方渠道核实。
Q8官方修了吗?(补丁/缓解)
🛠️ **补丁**:需联系厂商 **Bearsthemes** 获取修复版本。<br>🔗 **参考**:[ThemeForest 页面](https://themeforest.net/item/goza-nonprofit-charity-wordpress-theme/23781575) 或 [Wordfence 报告](https://www.wordfence.com/threat-intel/vulnerabilities/i…
Q9没补丁咋办?(临时规避)
🚫 **临时规避**:若无法升级,建议**立即停用**该主题/插件。<br>🔒 **隔离**:限制对 WordPress 上传目录的写入权限。<br>📝 **监控**:密切监控服务器文件系统的异常删除操作。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急**。<br>📊 **CVSS**:高分(H/I, H/A)。<br>🚀 **行动**:鉴于无需认证即可删除文件,建议**立即修复**或停用,防止业务中断。