CVE-2025-13486 — 神龙十问 AI 深度分析摘要

🚨 **本质**：代码注入漏洞 (CWE-94)。 💥 **后果**：攻击者可通过 `prepare_form` 函数注入恶意代码，导致 **远程代码执行 (RCE)**。

🔍 **根本原因**：`prepare_form` 函数未对用户输入进行严格过滤。 ⚠️ **缺陷点**：直接使用 `call_user_func_array` 执行用户可控的回调，导致任意代码执行。

🎯 **受影响组件**：WordPress 插件 **Advanced Custom Fields: Extended**。 📦 **高危版本**：**0.9.0.5** 至 **0.9.1.1**。 🏢 **厂商**：hwk-fr。

💀 **黑客能力**： - **完全控制**：在服务器上执行任意命令。 - **数据窃取**：读取数据库、用户数据。 - **权限提升**：获取服务器最高权限。 - **CVSS评分**：H (严重)，影响机密性、完整性、可用性。

🚪 **利用门槛**：**极低**。 - **无需认证**：CVSS向量显示 `PR:N` (无需权限)。 - **无需交互**：`UI:N` (无需用户交互)。 - **网络可达**：`AV:N` (网络攻击面)。

💣 **现成Exp**：**有**。 - GitHub 上已有多个 **PoC** 和 **Docker 测试环境**。 - 包括 RCE 利用代码及管理员创建脚本。 - 链接见参考数据 (0xnemian, 0xanis, KrE80r 等)。

🔎 **自查方法**： 1. 检查 WP 插件列表，确认是否安装 **ACF Extended**。 2. 核对版本号是否在 **0.9.0.5 - 0.9.1.1** 之间。 3. 扫描工具检测 `prepare_form` 相关代码注入特征。

🛡️ **官方修复**： - 参考链接指向 WordPress Trac 的 **changeset 3400134**。 - 建议立即升级至 **修复后的最新版本**。 - WordFence 已发布威胁情报分析。

🚧 **临时规避**： - **立即停用**该插件（若业务允许）。 - **升级版本**至非受影响版本。 - 若无补丁，限制服务器对外服务端口，配置 WAF 拦截代码注入请求。

🔥 **紧急程度**：**极高 (Critical)**。 - **CVSS 10.0** 级别风险。 - **无需认证**即可利用。 - **PoC 公开**，在野利用风险大。 - **建议**：立即排查并升级！