CVE-2025-11499 — 神龙十问 AI 深度分析摘要

🚨 **本质**：任意文件上传漏洞（CWE-434）。<br>🔥 **后果**：攻击者可上传恶意脚本，直接 **Webshell** 控制服务器，导致数据泄露或系统瘫痪。

🔍 **缺陷点**：`set_featured_image_from_external_url()` 函数。<br>⚠️ **原因**：缺乏严格的 **文件类型验证**，未过滤危险扩展名（如 .php）。

📦 **组件**：Tablesome Table – Contact Form DB – WPForms, CF7, Gravity, Forminator, Fluent。<br>🏷️ **厂商**：essekia。<br>📉 **版本**：1.1.32 及 **之前** 所有版本。

💀 **权限**：无需认证（Unauthenticated）。<br>📂 **数据**：可上传任意文件，获取 **服务器最高权限**（Root/Admin），完全接管站点。

🚪 **门槛**：极低。<br>✅ **认证**：**无需登录**（Unauthenticated）。<br>⚙️ **配置**：若站点允许未注册用户设置特色图片，即可直接利用。

🧪 **Exp**：有现成 PoC。<br>🔗 **来源**：GitHub 上已有多个利用工具（如 Hazelooks, rootreapers 仓库）。<br>📥 **状态**：可直接下载 Python 脚本进行自动化攻击。

🔎 **自查**：检查 WordPress 插件列表。<br>📋 **特征**：查找名为 `Tablesome Table` 的插件。<br>📊 **版本**：确认版本号是否 ≤ 1.1.32。

🛠️ **补丁**：官方已发布修复。<br>📝 **参考**：Trac 仓库变更集 3386484 已修复 `wp-post-creation.php` 中的验证逻辑。<br>🆙 **行动**：立即升级至 **1.1.33+**（或最新稳定版）。

🛡️ **临时规避**：<br>1️⃣ **禁用** 未注册用户设置特色图片的功能。<br>2️⃣ 在 Web 服务器（Nginx/Apache）中 **禁止** 上传目录执行 PHP 脚本。<br>3️⃣ 暂时 **停用** 该插件。

🔥 **优先级**：**紧急 (Critical)**。<br>📈 **CVSS**：9.8 (极高危)。<br>💡 **建议**：这是 **未授权** 的远程代码执行漏洞，必须 **立即** 修复，否则站点随时沦陷。