CVE-2025-13773 — 神龙十问 AI 深度分析摘要

🚨 **本质**：代码注入漏洞 (CWE-94)。 💥 **后果**：攻击者可执行任意 PHP 代码，导致服务器被完全控制。

🔍 **根本原因**： 1. **缺少能力检查**：未验证用户权限。 2. **Dompdf 启用 PHP**：PDF 生成器允许执行代码。 3. **模板文件缺陷**：`template.php` 缺乏安全过滤。

🎯 **受影响对象**： - **产品**：Print Invoice & Delivery Notes for WooCommerce - **厂商**：tychesoftwares - **版本**：5.8.0 及更早版本

👿 **黑客能力**： - **权限**：获得服务器最高权限 (RCE)。 - **数据**：窃取数据库、用户数据、网站源码。 - **影响**：CVSS 评分极高 (C:H/I:H/A:H)，破坏性极大。

🚪 **利用门槛**： - **认证**：无需认证 (PR:N)。 - **攻击距离**：网络远程 (AV:N)。 - **复杂度**：低 (AC:L)。 - **用户交互**：无需 (UI:N)。 👉 **极易利用！**

📦 **Exp 状态**： - **PoC**：数据中未提供现成 PoC。 - **在野利用**：未知。 - **参考**：Wordfence 已发布威胁情报分析。

🔎 **自查方法**： 1. 检查插件版本是否 ≤ 5.8.0。 2. 扫描是否存在 `woocommerce-delivery-notes` 目录。 3. 重点检查 `includes/front/vendor/dompdf/` 和 `templates/pdf/` 下的 PHP 执行逻辑。

🛡️ **官方修复**： - **补丁**：存在修复版本 (Changeset 3426119)。 - **行动**：请立即升级至最新版本以修复代码注入问题。

🚧 **临时规避**： 1. **立即停用**该插件。 2. **删除**插件目录。 3. 若必须使用，需手动修补 `template.php` 并禁用 Dompdf 的 PHP 执行功能（高风险操作，建议直接停用）。

⚡ **优先级**： - **紧急程度**：🔴 **极高**。 - **理由**：无需认证、远程利用、CVSS 满分风险。 - **建议**：**立即**升级或停用，切勿拖延！