首页 CVE-2025-10484 神龙十问摘要 — 神龙十问 AI 深度分析摘要 更新于 2026-05-06
本页是神龙十问 AI 深度分析的
摘要版 。完整版(更长回答、追问、相关漏洞)需
登录查看 → Q1 这个漏洞是什么?(本质+后果) 🚨 **本质**:会话管理缺陷。插件 `Registration & Login with Mobile Phone Number for WooCommerce` 在通过 `fma_lwp_set_session_p` 处理会话时存在漏洞。后果:攻击者可完全接管用户会话,导致**数据泄露**和**权限提升**。
Q2 根本原因?(CWE/缺陷点) 🛡️ **根本原因**:CWE-288(认证功能替代/绕过)。缺陷点在于**会话设置逻辑**不安全,未能正确验证或保护会话状态,导致身份验证机制被绕过。
Q3 影响谁?(版本/组件) 📦 **影响范围**:受影响的组件是 **FmeAddons** 开发的 WordPress 插件。具体版本:**1.3.1 及之前版本**。
Q4 黑客能干啥?(权限/数据) 💀 **黑客能力**:CVSS 评分极高(H/I/H)。黑客可:**完全读取**敏感数据、**任意修改**系统内容、**彻底破坏**服务可用性。无需认证即可实施攻击。
Q5 利用门槛高吗?(认证/配置) 🚪 **利用门槛**:**极低**。CVSS 向量显示:攻击向量网络(AV:N)、攻击复杂度低(AC:L)、**无需认证**(PR:N)、无需用户交互(UI:N)。
Q6 有现成Exp吗?(PoC/在野利用) 💻 **现成Exp**:**有**。GitHub 上已有公开 PoC:`https://github.com/microcyberr/CVE-2025-10484`。WordFence 威胁情报已收录,说明存在被监控和潜在在野利用风险。
Q7 怎么自查?(特征/扫描) 🔍 **自查方法**:检查 WordPress 插件列表,查找名称为 `Registration & Login with Mobile Phone Number for WooCommerce` 的插件。确认版本是否 **≤ 1.3.1**。
Q8 官方修了吗?(补丁/缓解) 🔧 **官方修复**:数据未提供具体补丁版本或发布日期(2026-01-17 为公布日)。建议立即前往 **WooCommerce 官方产品页** 或插件开发者页面检查是否有 **1.3.2+** 等修复版本。
Q9 没补丁咋办?(临时规避) ⚠️ **临时规避**:若无法立即更新,建议:**暂时禁用**该插件;或限制插件目录的**文件写入权限**;配置 WAF 规则拦截异常的会话设置请求。
Q10 急不急?(优先级建议) 🔥 **优先级**:**紧急 (Critical)**。由于无需认证且影响全面(机密性/完整性/可用性均为高),建议**立即升级**或停用插件,防止被自动化脚本扫描利用。