CVE-2025-14301 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径遍历漏洞 (Path Traversal)。 💥 **后果**：攻击者可读取服务器敏感文件，甚至可能导致**服务器完全沦陷**（CVSS评分极高，影响机密性、完整性、可用性）。

🔍 **CWE**：CWE-22 (路径遍历)。 🐛 **缺陷点**：`process_table_bulk_actions` 函数在处理用户提供的文件路径时，**缺少身份验证**且未做严格校验。

🎯 **受影响组件**：WordPress 插件 **Integration Opvius AI for WooCommerce**。 📦 **版本**：**1.3.0 及之前版本**。 🏢 **厂商**：woosaai。

🕵️ **黑客能力**： 1. **读取任意文件**（如配置文件、源码、密钥）。 2. 结合其他漏洞可能实现 **RCE**（远程代码执行）。 3. 数据泄露与系统破坏（CVSS: C:H/I:H/A:H）。

🚪 **利用门槛**：**极低**。 🔑 **认证**：**无需认证** (PR:N)。 🌐 **网络**：远程利用 (AV:N)。 🎯 **复杂度**：低 (AC:L)，无需用户交互 (UI:N)。

📜 **Exp/PoC**：当前数据中 **PoCs 为空**。 ⚠️ **注意**：虽无公开 PoC，但因无需认证且利用简单，**在野利用风险极高**，需高度警惕。

🔎 **自查方法**： 1. 检查插件版本是否 ≤ 1.3.0。 2. 扫描目标文件：`class-module-logger-hook.php`。 3. 重点检测 `process_table_bulk_actions` 接口是否存在路径遍历特征。

🛠️ **官方修复**：数据未提供具体补丁版本。 📅 **发布时间**：2026-01-14。 💡 **建议**：立即联系厂商 woosaai 获取更新，或查看 WordPress 官方插件库是否有新版本。

🛡️ **临时规避**： 1. **禁用/卸载**该插件。 2. 若必须使用，通过 WAF 拦截对 `class-module-logger-hook.php` 的异常路径请求。 3. 限制服务器文件读取权限。

🔥 **优先级**：**紧急 (Critical)**。 📉 **理由**：CVSS 满分潜力，无需认证，远程直接利用。建议 **立即行动**，优先隔离或更新。