CVE-2025-10690 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Goza 主题存在**权限校验缺失**。 💥 **后果**：攻击者可上传伪装成插件的 **Webshell**，直接导致 **远程代码执行 (RCE)**。

🔍 **CWE-862**：缺少必要的**授权检查**（Missing Authorization）。 📍 **缺陷点**：文件上传接口未验证用户身份或权限，导致非法上传。

📦 **组件**：Goza - Nonprofit Charity WordPress Theme。 🏢 **厂商**：Bearsthemes。 📉 **版本**：**3.2.2 及之前**的所有版本均受影响。

👑 **权限**：获得服务器最高控制权（RCE）。 📂 **数据**：可读取/篡改所有网站数据、数据库及后台文件。 🔓 **范围**：无需登录即可操作，危害极大。

📉 **门槛极低**。 🔑 **认证**：**无需认证**（PR:N）。 🌐 **网络**：远程即可利用（AV:N）。 👀 **交互**：无需用户交互（UI:N）。

🚫 **暂无公开 Exp**。 📄 **PoC**：数据中未提供现成利用代码。 🌍 **在野**：目前未见大规模在野利用报告。

🔍 **自查**：检查 WordPress 后台主题列表。 📌 **特征**：确认是否安装 **Goza** 主题且版本 **≤ 3.2.2**。 🛡️ **扫描**：使用 WAF 或漏洞扫描器检测文件上传异常。

🛠️ **补丁状态**：数据未提及官方已发布具体补丁版本。 ⚠️ **建议**：立即联系厂商 Bearsthemes 获取更新或降级处理。

🚧 **临时规避**： 1️⃣ **禁用上传**：限制媒体库上传 .zip 或 .php 文件。 2️⃣ **WAF 防护**：拦截包含 Webshell 特征的上传请求。 3️⃣ **权限收紧**：确保上传目录无执行权限。

🔥 **优先级：极高**。 📊 **CVSS**：**9.8**（严重）。 ⏳ **行动**：由于无需认证即可 RCE，建议**立即**隔离或修复，防止被自动化脚本攻击。