CVE-2025-23922 — 神龙十问 AI 深度分析摘要

🚨 **本质**：跨站请求伪造 (CSRF) 导致任意文件上传。 💥 **后果**：攻击者可上传恶意文件，完全控制服务器，CVSS 满分 10.0！

🔍 **CWE-352**：缺乏 CSRF 令牌验证。 🐛 **缺陷点**：插件未校验请求来源，导致恶意网站可代为发送请求。

📦 **产品**：iSpring Embedder (WordPress 插件)。 👤 **厂商**：Harsh。 📉 **版本**：1.0 版本及之前版本。

🔓 **权限**：任意文件上传 → 远程代码执行 (RCE)。 📂 **数据**：高机密性/完整性/可用性损失 (C:H/I:H/A:H)。 🌐 **范围**：影响整个 WordPress 站点。

🚪 **门槛**：极低！ 🔑 **认证**：无需认证 (PR:N)。 🖱️ **交互**：无需用户交互 (UI:N)。 🌍 **网络**：网络可攻击 (AV:N)。

💻 **PoC**：有！GitHub 已公开 (Nxploited/CVE-2025-23922)。 🔗 **链接**：见参考数据中的 GitHub 链接。

🔎 **自查**：检查 WP 后台插件列表。 📋 **特征**：确认是否安装 **iSpring Embedder** 且版本 **≤ 1.0**。 🛠️ **工具**：使用 Patchstack 等数据库扫描。

🛡️ **状态**：数据未提供具体补丁链接。 ⚠️ **建议**：立即联系厂商 Harsh 或查看官方更新日志获取修复版。

⏸️ **临时规避**： 1️⃣ **停用/卸载**该插件（最推荐）。 2️⃣ 限制文件上传目录权限。 3️⃣ 配置 WAF 拦截异常上传请求。

🔥 **优先级**：P0 (紧急)。 📈 **风险**：CVSS 10.0 满分，无门槛利用。 🏃 **行动**：立即修复或下线插件，切勿拖延！