CVE-2025-13597 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WordPress插件 **AI Feeds** 存在代码缺陷。 💥 **后果**：攻击者可利用 **任意文件上传** 漏洞，直接控制服务器。

🔍 **CWE**：CWE-434（任意文件上传）。 🛑 **缺陷点**：关键操作 **缺少能力检查**（权限验证缺失），导致未授权访问。

📦 **组件**：WordPress Plugin **AI Feeds**。 🏢 **厂商**：soportecibeles。 📉 **版本**：1.0.11 及 **之前所有版本** 均受影响。

👑 **权限**：CVSS评分极高（H/H/H），意味着 **完全控制**。 💾 **数据**：可上传恶意脚本（Webshell），执行任意代码，窃取或篡改数据。

🚪 **门槛**：**极低**。 🔓 **认证**：**无需认证**（Unauthenticated）。 🌐 **网络**：远程利用（AV:N），无需用户交互（UI:N）。

💻 **Exp**：**有现成PoC**。 🔗 **来源**：GitHub (d0n601/CVE-2025-13597) 已公开利用代码。 ⚠️ **状态**：公开可用，风险极高。

🔎 **自查**：检查WordPress后台插件列表。 📋 **特征**：确认是否安装 **AI Feeds** 插件。 📊 **版本**：核对版本号是否 **≤ 1.0.11**。

🛡️ **补丁**：**已修复**。 📅 **时间**：2025-11-25 公布。 🔗 **更新**：官方已发布修复版本（参考 WordPress Trac changeset 3402321）。

⏳ **临时规避**： 1️⃣ **立即禁用** 该插件。 2️⃣ 若必须使用，严格限制 **文件上传目录** 权限。 3️⃣ 配置 WAF 拦截异常上传请求。

🔥 **优先级**：**紧急 (Critical)**。 ⚡ **理由**：无需认证 + 任意代码执行 + PoC公开。 🏃 **行动**：**立即升级** 至最新版本，否则服务器随时沦陷。