CVE-2025-12981 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WordPress插件 Listee 注册功能验证缺陷。 💥 **后果**：未授权攻击者可直接注册为**管理员**，彻底接管站点。

🔍 **CWE**：CWE-269 (权限提升)。 🐛 **缺陷点**：用户注册流程中**验证检查缺失**，未校验注册身份权限。

📦 **组件**：WordPress Plugin **Listee**。 🏷️ **厂商**：dreamstechnologies。 📉 **版本**：1.1.6 及**之前**所有版本。

👑 **权限**：直接获取**管理员 (Administrator)** 权限。 📂 **数据**：可读取/修改全站数据、植入后门、篡改内容。

🚪 **门槛**：**极低**。 ✅ **认证**：无需登录 (PR:N)。 🌐 **网络**：远程 (AV:N)。 🎯 **复杂度**：低 (AC:L)。

🧪 **Exp**：数据中 **PoCs 为空**。 🌍 **在野**：暂无公开在野利用报告。 ⚠️ **注意**：因CVSS极高，极易被自动化脚本利用。

🔎 **自查**：检查是否安装 **Listee** 插件。 📋 **版本**：确认版本是否 **≤ 1.1.6**。 🛠️ **工具**：使用 WPScan 或官方漏洞库扫描。

🛡️ **补丁**：数据未提供具体补丁链接。 📝 **建议**：查阅官方文档 changelog 或联系厂商 dreamstechnologies 获取修复版。

🚫 **规避**：暂时**禁用** Listee 插件。 🔒 **限制**：关闭 WordPress 用户注册功能。 🛡️ **WAF**：拦截注册接口的异常请求。

🔥 **优先级**：**紧急 (Critical)**。 📊 **CVSS**：**9.8** (极高)。 ⏱️ **行动**：立即升级或隔离，防止站点被接管。