CVE-2025-1562 — 神龙十问 AI 深度分析摘要

🚨 **本质**：未授权任意插件安装。 💥 **后果**：攻击者可植入恶意插件（如Webshell），完全控制WordPress站点，导致数据泄露或服务器沦陷。

🔍 **CWE**：CWE-862（缺失授权）。 🛠 **缺陷**：`install_or_activate_addon_plugins()` 函数缺少权限检查，且 **Nonce 哈希过弱**，无法有效验证请求合法性。

📦 **组件**：FunnelKit Automations (Recover WooCommerce Cart Abandonment)。 📉 **版本**：3.5.3 及之前所有版本。

👑 **权限**：无需登录（Unauthenticated）。 📂 **数据**：可执行任意PHP代码，获取 **Shell 权限**，窃取数据库、用户信息及全站数据。

⚡ **门槛**：极低。 🔓 **认证**：无需认证。 ⚙️ **配置**：利用弱Nonce即可绕过，但需注意直接激活恶意插件可能因路径问题存在一定利用难度。

💻 **PoC**：有。 🔗 **链接**：GitHub 上有完整 POST 请求示例，可直接安装远程恶意ZIP插件。 🌍 **在野**：暂无明确在野利用报道，但工具已就绪。

🔎 **自查**：检查是否安装 FunnelKit 插件且版本 ≤ 3.5.3。 📡 **扫描**：使用 Nuclei 模板 `CVE-2025-1562.yaml` 进行自动化检测。

🛡️ **补丁**：官方已发布修复（Changeset 3305437）。 ✅ **建议**：立即升级插件至最新版本以修复权限检查和Nonce问题。

🚧 **临时规避**： 1. 限制 `/index.php?rest_route=/autonami-app/plugin/install_and_activate` 访问。 2. 禁用未必要的 REST API 端点。 3. 加强服务器防火墙规则。

🔥 **优先级**：极高 (CVSS 9.8)。 ⚠️ **建议**：高危漏洞，建议 **立即修复**，防止被自动化脚本批量扫描利用。