CVE-2025-24775 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WordPress插件 Forms 存在**危险文件类型上传限制不足**。 💥 **后果**：攻击者可上传 **WebShell**，直接控制服务器。

🔍 **CWE**：CWE-434（有害文件类型的无限制上传）。 📍 **缺陷点**：插件未严格校验上传文件的**后缀名**或**MIME类型**，导致恶意脚本混入。

🏢 **厂商**：Made I.T. 📦 **产品**：WordPress Plugin **Forms**。 📉 **版本**：**2.9.0** 及之前所有版本。

🔓 **权限**：获得服务器**完全控制权**（RCE）。 📂 **数据**：可窃取数据库、用户数据，或植入后门持续潜伏。

📊 **门槛**：**低**。 🔑 **认证**：需 **PR:L**（低权限认证），即普通注册用户即可利用。 🌐 **网络**：远程攻击（AV:N）。

📜 **Exp**：数据中 **pocs** 为空，暂无公开 PoC。 🌍 **在野**：暂无在野利用报告，但漏洞原理简单，**极易爆发**。

🔎 **自查**：检查 WordPress 后台插件列表。 🔍 **特征**：确认是否安装 **Forms** 插件，且版本 **≤ 2.9.0**。

🛡️ **补丁**：数据未提供具体补丁链接，但通常需升级至**最新版本**。 📝 **参考**：可查阅 Patchstack 官方公告获取修复指引。

⚠️ **规避**： 1. **禁用/卸载**该插件。 2. 限制上传目录**执行权限**。 3. 配置 WAF 拦截 **WebShell** 特征请求。

🔥 **优先级**：**极高**。 🚀 **理由**：CVSS 评分 **9.8**（危急），远程无需高权限即可上传 WebShell，**必须立即修复**。