CVE-2025-28961 — 神龙十问 AI 深度分析摘要

🚨 **本质**：反序列化不可信数据导致 **对象注入**。后果严重，攻击者可执行任意代码或篡改系统逻辑。

🔍 **CWE-502**：反序列化漏洞。缺陷点在于插件未对输入数据进行严格校验，直接反序列化外部传入的数据。

🛡️ **受影响**：WordPress 插件 **URL Shortener**。版本：**3.0.7 及之前版本**。

💥 **黑客能力**：CVSS 评分极高 (H/H/H)。可完全 **控制服务器**，窃取敏感数据，修改网站内容，甚至植入后门。

⚡ **门槛低**：CVSS 向量显示 **无需认证 (PR:N)**、**无需用户交互 (UI:N)**、**远程利用 (AV:N)**。攻击极易发起。

📦 **现状**：数据中 **PoCs 为空**，暂无公开现成 Exploit 或明确在野利用报告，但风险极高。

🔎 **自查**：检查 WordPress 后台插件列表，确认是否安装 **URL Shortener** 且版本 **≤ 3.0.7**。

🔧 **修复**：官方未提供直接补丁链接。建议参考 Patchstack 链接获取最新修复方案或联系开发者 Md Yeasin Ul Haider。

🚫 **临时规避**：若无法升级，建议 **立即停用并卸载** 该插件。或配置 WAF 拦截可疑的反序列化 payload。

🔥 **优先级：紧急**。CVSS 满分风险，远程无需认证。建议 **立即行动**，优先更新或隔离受影响实例。