CVE-2025-2294 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径遍历导致本地文件包含 (LFI)。 💥 **后果**：攻击者可包含并执行服务器上的任意文件，导致**代码执行**和**数据泄露**。

🔍 **CWE**：CWE-22 (路径遍历)。 📍 **缺陷点**：`kubio_hybrid_theme_load_template` 函数未正确验证输入，允许读取敏感文件。

📦 **组件**：WordPress 插件 **Kubio AI Page Builder**。 📉 **版本**：**2.5.1 及之前版本**均受影响。

🕵️ **权限**：未认证攻击者即可操作。 📂 **数据**：可读取敏感配置、源码，甚至通过上传“安全”文件类型实现**远程代码执行 (RCE)**。

🚪 **门槛**：**极低**。 🔑 **认证**：**无需认证** (Unauthenticated)。 ⚙️ **配置**：无需特殊配置，直接利用即可。

💣 **Exp**：**已有现成 PoC**。 🔗 多个 GitHub 仓库提供 exploit 脚本 (如 Nxploited, mrrivaldo, realcodeb0ss)，可直接用于扫描和攻击。

🔎 **自查**： 1. 检查插件版本是否 ≤ 2.5.1。 2. 使用 Nuclei 模板扫描。 3. Dork 搜索：`inurl wp-content/plugins/kubio`。

🛡️ **补丁**：数据未提供具体补丁链接，但明确指出 **2.5.1 及之前** 有漏洞。 ✅ **建议**：立即升级至 **2.5.2 或更高版本** (需联系厂商 extendthemes 确认最新安全版本)。

⚠️ **临时规避**： 1. **禁用/卸载**该插件。 2. 配置 WAF 拦截包含 `../` 或敏感文件路径的请求。 3. 限制服务器对敏感文件的读取权限。

🔥 **优先级**：**紧急 (Critical)**。 📊 **CVSS**：**9.8** (极高危)。 ⏱️ **行动**：立即修复，因无需认证且已有 Exp，在野利用风险极高。