CVE-2025-13377 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径遍历漏洞 (Path Traversal)。 💥 **后果**：因文件路径验证不足，攻击者可导致**任意文件夹删除**，严重破坏网站结构。

🔍 **CWE**：CWE-22 (路径遍历)。 📍 **缺陷点**：对**文件路径**的输入验证逻辑存在缺失或错误，未有效过滤非法字符。

🎯 **受影响组件**：WordPress 插件 **10Web Booster**。 📦 **版本范围**：**2.32.7 及之前版本**。

🔓 **权限**：需具备**低权限** (PR:L)。 💾 **数据/影响**：虽然不直接泄露数据 (C:N)，但能造成**高完整性** (I:H) 和**高可用性** (A:H) 破坏，即删库跑路。

⚠️ **门槛**：中等。 🔑 **条件**：需要**本地认证** (Authenticated) 或具备登录权限，无需用户交互 (UI:N)，网络远程 (AV:N) 即可触发。

🚫 **Exp/PoC**：当前数据中 **无现成 PoC** (pocs: [])。 🌍 **在野利用**：暂无公开在野利用报告。

🔎 **自查特征**：检查 WordPress 后台插件列表。 📋 **动作**：确认 **10Web Booster** 版本是否 **≤ 2.32.7**。

🛡️ **官方修复**：是。 📝 **补丁**：参考 WordPress Trac 变更集 **3402434**，官方已发布修复版本。

⏳ **临时规避**：若无法立即升级，建议**暂时禁用**该插件，或严格限制后台访问权限，防止低权限用户操作。

🔥 **优先级**：**高**。 📅 **时间**：2025-12-06 发布。 💡 **建议**：CVSS 评分高 (A:H/I:H)，虽需认证，但破坏力大，建议**尽快升级**至最新版本。