CVE-2025-22782 — 神龙十问 AI 深度分析摘要
CVSS 9.9 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:文件上传漏洞(Web Shell 上传) 💥 **后果**:攻击者可执行任意代码,直接接管服务器权限。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-434(不受限制的文件上传) 📍 **缺陷**:插件未严格校验上传文件,允许恶意脚本(Web Shell)写入服务器。
Q3影响谁?(版本/组件)
📦 **组件**:WR Price List Manager For Woocommerce 📅 **版本**:1.0.8 及之前所有版本
Q4黑客能干啥?(权限/数据)
👑 **权限**:最高权限(Root/Admin) 📊 **数据**:完全泄露网站数据、数据库及服务器敏感信息。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:中等 🔑 **条件**:需本地权限(PR:L),但无需用户交互(UI:N),攻击复杂度低(AC:L)。
Q6有现成Exp吗?(PoC/在野利用)
🧪 **Exp**:暂无公开 PoC 🌍 **在野**:数据未显示在野利用,但风险极高,需警惕。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 WordPress 插件列表 📋 **特征**:确认是否安装 'WR Price List Manager For Woocommerce' 且版本 ≤ 1.0.8。
Q8官方修了吗?(补丁/缓解)
🛡️ **补丁**:官方已发布修复 🔗 **来源**:Patchstack 数据库已收录,建议立即升级至安全版本。
Q9没补丁咋办?(临时规避)
⚠️ **规避**:若无法升级,立即**停用**该插件 🚫 **限制**:严格限制文件上传目录权限,禁用 PHP 执行。
Q10急不急?(优先级建议)
🔥 **优先级**:P0(紧急) 💡 **建议**:CVSS 评分极高(10.0),涉及远程代码执行,必须**立即**处理。