CVE-2025-14344 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径遍历漏洞（Path Traversal） 💥 **后果**：因文件路径验证不足，攻击者可导致**任意文件删除**，严重破坏系统完整性。

🔍 **CWE**：CWE-22（路径遍历） 📍 **缺陷点**：插件在处理文件上传/路径时，未对输入进行严格的**路径规范化**或**边界检查**，允许使用 `../` 等序列跳出预期目录。

🎯 **受影响组件**：WordPress 插件 **Multi Uploader for Gravity Forms** 📦 **风险版本**：**1.1.7 及之前版本**（1.1.8+ 已修复）。

💀 **黑客能力**： - **任意文件删除**：可删除服务器关键文件。 - **权限**：CVSS 评分极高（H/I/H），意味着机密性、完整性、可用性均受**高**影响。 - **无需认证**：利用门槛低。

📉 **利用门槛**：**极低** - **认证**：PR:N（无需权限） - **交互**：UI:N（无需用户交互） - **复杂度**：AC:L（低复杂度） - **网络**：AV:N（网络可远程利用）

🧪 **Exp/PoC**：目前公开数据中 **PoCs 列表为空**。 ⚠️ 但鉴于 CVSS 向量显示为远程、无需认证且利用简单，**在野利用风险极高**，建议视为已存在利用代码。

🔎 **自查方法**： 1. 检查 WordPress 插件列表，确认是否安装 **Multi Uploader for Gravity Forms**。 2. 核对版本号是否 **≤ 1.1.7**。 3. 扫描代码中 `GFMUHandlePluploader.class.php` 是否存在路径拼接未过滤逻辑。

🛡️ **官方修复**：**已修复** - 参考链接显示插件 Trac 仓库有更新记录（Changeset 3421317）。 - **建议**：立即升级至 **1.1.8 或更高版本**。

🚧 **临时规避**： 1. **停用插件**：若无需上传功能，直接禁用或删除该插件。 2. **权限收紧**：确保 Web 服务器用户（如 www-data）对关键系统目录无**写入/删除**权限。 3. **WAF 防护**：配置 WAF 拦截包含 `../` 或路径遍历特征的请求。

🔥 **优先级**：**紧急 (Critical)** - CVSS 3.1 向量显示所有指标均为 High。 - 无需认证即可远程利用。 - **行动**：立即升级插件或采取临时缓解措施，防止服务器文件被恶意删除。