CVE-2025-15525 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WordPress插件 Ajax Load More 的 `parse_custom_args()` 函数未验证用户权限。❌ **后果**：未授权用户可读取私有/草稿/待审/已删文章的标题和摘要，泄露敏感内容。

🔍 **根本原因**：CWE-250（授权机制缺陷）。`parse_custom_args()` 未检查 `current_user_can()`，允许任意用户绕过权限控制。

⚠️ **影响组件**：Ajax Load More 插件（所有版本，含 7.8.1）。影响使用该插件的 WordPress 站点。

🔓 **黑客能干啥**：无需登录，直接获取文章标题+摘要，包括草稿、私有、待审内容。可用于信息收集、社工或内容窃取。

⚡ **利用门槛极低**：无需认证、无需特殊配置。只需访问特定接口，发送构造参数即可触发。

🔍 **PoC 未公开**：目前无公开 Exploit。但源码已暴露（Trac链接），攻击者可自行构造。⚠️ 有在野利用风险。

🛠️ **自查方法**：1. 检查是否安装 Ajax Load More。2. 查看版本号 ≤ 7.8.1。3. 用工具扫描 `/wp-admin/admin-ajax.php` 是否响应 `alm_load_more` 参数。

✅ **官方已修复**：更新至最新版（>7.8.1）。修复点：`parse_custom_args()` 增加权限校验逻辑。

🛡️ **临时规避**：1. 禁用插件。2. 在 `.htaccess` 中限制 `admin-ajax.php` 访问。3. 使用防火墙（如 Wordfence）拦截可疑请求。

🔥 **高优先级！** 信息泄露风险高，无需认证。建议立即升级或临时禁用插件。🛡️ 修复紧迫性：⭐⭐⭐⭐⭐