CVE-2025-10850 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WordPress插件 **Felan Framework** 存在 **硬编码密码** 漏洞。 💥 **后果**：攻击者可绕过正常认证，直接以任意现有用户身份登录，导致 **数据泄露** 和 **权限滥用**。

🔍 **CWE-798**：使用了 **硬编码凭证**（Hardcoded Credentials）。 📍 **缺陷点**：`fb_ajax_login_or_register` 和 `google_ajax_login_or_register` 函数中写死了默认密码。

📦 **厂商**：RiceTheme。 📉 **版本**：**Felan Framework 1.1.4 及之前版本**。 🌐 **平台**：WordPress 插件。

👤 **权限**：可登录为 **任何现有用户**。 📂 **数据**：获取敏感用户数据、站点功能控制权。 ⚠️ **范围**：主要影响使用 **Facebook/Google 社交登录** 功能的用户。

📉 **门槛极低**。 🔓 **无需认证**：CVSS 显示 **PR:N** (无需权限)。 🚫 **无需交互**：CVSS 显示 **UI:N** (无需用户交互)。 🌐 **网络可达**：CVSS 显示 **AV:N** (网络攻击面)。

📜 **有 PoC**：GitHub 上已有公开利用代码 (pulsecipher/CVE-2025-10850)。 🔥 **状态**：虽为 2025 年披露，但代码已公开，利用风险高。

🔎 **自查特征**：检查插件版本是否 ≤ 1.1.4。 🛠️ **代码扫描**：搜索 `fb_ajax_login_or_register` 或 `google_ajax_login_or_register` 函数。 🔑 **凭证检测**：查找代码中是否存在 **硬编码的密码字符串**。

🛡️ **官方修复**：需升级至 **1.1.5 或更高版本**（基于“1.1.4及之前”推断）。 📢 **参考**：Wordfence 和 ThemeForest 均有相关记录，建议立即检查更新。

⚠️ **临时规避**： 1️⃣ **禁用社交登录**：暂时关闭 Facebook/Google 登录功能。 2️⃣ **强制改密**：若无法升级，强制所有用户修改密码（但硬编码后门仍存在，治标不治本）。 3️⃣ **WAF 防护**：拦截针对相关 AJAX 接口的异常请求。

🔴 **优先级：极高 (Critical)**。 📊 **CVSS 评分**：高分（C:H/I:H/A:H）。 💡 **建议**：**立即行动**！这是典型的“低级错误”导致的高危漏洞，无需复杂利用即可接管账号，建议优先修复。