CVE-2025-23918 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WordPress插件 Smallerik File Browser 存在**任意文件上传**漏洞。 💥 **后果**：攻击者可上传恶意脚本，导致**服务器被完全控制**，数据泄露或网站被篡改。

🔍 **CWE**：CWE-434（不受限制的危险文件上传）。 🛠 **缺陷点**：插件未对上传文件的**类型**进行严格校验，允许上传具有危险扩展名的文件。

🎯 **受影响组件**：WordPress Plugin **Smallerik File Browser**。 📦 **版本范围**：**1.1版本及之前**的所有版本。

🕵️ **黑客权限**：获得**远程代码执行 (RCE)** 权限。 📂 **数据风险**：可读取敏感文件、植入Webshell、控制整个WordPress站点。

🔑 **利用门槛**：**中等**。 ⚙️ **条件**：需要**低权限认证 (PR:L)**，即攻击者需拥有WordPress的**登录账号**（如作者/编辑角色），无需用户交互。

📦 **Exp/PoC**：目前**暂无公开**的现成Exploit或PoC代码。 🌍 **在野利用**：暂无证据表明已在野外大规模利用。

🔎 **自查方法**： 1. 检查WP后台是否安装 **Smallerik File Browser**。 2. 确认版本是否 **≤ 1.1**。 3. 扫描插件目录是否存在可疑的 **.php/.jsp** 等可执行文件。

🛡️ **官方修复**：数据中**未提供**具体的补丁链接或修复版本信息。 📌 **建议**：参考 Patchstack 链接获取最新厂商动态，通常需升级至修复版。

🚧 **临时规避**： 1. **立即停用并卸载**该插件。 2. 若必须使用，限制上传目录的**执行权限**。 3. 严格审查上传文件的**MIME类型和扩展名**。

⚠️ **优先级**：**高 (Critical)**。 📉 **CVSS评分**：**9.8**（极高危）。 💡 **建议**：即使需登录，鉴于后果严重（服务器沦陷），建议**立即**采取缓解措施或升级。