CVE-2025-13615 — 神龙十问 AI 深度分析摘要

🚨 **本质**：对象访问控制失效（IDOR类）。<br>🔥 **后果**：任意用户可修改他人密码，直接导致**账户接管**，网站完全沦陷。

🔍 **CWE-639**：授权问题。<br>⚠️ **缺陷**：未正确验证用户权限，允许攻击者通过**用户控制的对象**访问敏感功能。

📦 **组件**：WordPress 插件 **StreamTube Core**。<br>📅 **版本**：**4.78** 及之前所有版本均受影响。

👤 **权限**：无需认证即可操作。<br>💾 **数据**：可重置**任意用户密码**，进而获取管理员权限，完全控制站点。

📉 **门槛极低**。<br>✅ **无需**：认证、UI交互或特殊配置。<br>🌐 **攻击面**：网络可达即可利用（AV:N, PR:N）。

🚫 **无现成Exp**。<br>📝 **状态**：数据中 `pocs` 为空，暂无公开 PoC 或确认的在野利用报告。

🔎 **自查**：检查 WP 后台插件列表。<br>📌 **特征**：查找名为 **StreamTube Core** 的插件，确认版本号是否 **≤ 4.78**。

🛡️ **官方修复**：数据未提供具体补丁链接。<br>💡 **建议**：参考 Wordfence 或 ThemeForest 页面，升级至**最新版本**以修复漏洞。

🚧 **临时规避**：<br>1. **禁用/卸载**该插件。<br>2. 若必须用，限制插件目录访问权限，或暂时关闭站点。<br>3. 强制重置所有用户密码。

🔴 **极度紧急**。<br>⚡ **CVSS 9.8**：高危。<br>🏃 **行动**：零日级风险，需**立即**升级或停用插件，防止账户被接管。