CVE-2025-31048 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Shopo 主题存在**危险文件上传**漏洞。 💥 **后果**：攻击者可绕过限制，向服务器上传 **Web Shell**（Web脚本），直接控制网站。

🔍 **CWE**：CWE-434（不受限制的文件上传）。 🐛 **缺陷**：代码未对上传文件的**类型**进行严格校验，导致危险文件（如PHP）被允许上传。

🎯 **厂商**：Themify。 📦 **产品**：WordPress 主题 **Shopo**。 📅 **版本**：**1.1.4 及之前**的所有版本均受影响。

👑 **权限**：获得 **Web 服务器** 执行权限。 📂 **数据**：可读取/篡改网站数据，甚至进一步渗透内网。 🛠️ **操作**：执行任意代码，完全接管站点。

⚠️ **门槛**：中等。 🔑 **认证**：CVSS 显示需要 **PR:L**（低权限认证），即攻击者可能需要登录后台或拥有特定用户权限才能触发上传。

📄 **Exp**：数据中 **pocs** 字段为空，暂无公开 PoC。 🌍 **在野**：暂无在野利用报告（基于当前数据）。

🔎 **自查**：检查 WordPress 后台主题列表。 📋 **特征**：确认是否安装 **Shopo** 主题，且版本号 **≤ 1.1.4**。

🛡️ **补丁**：数据未提供具体补丁链接，但引用了 Patchstack 的漏洞页面。 ✅ **建议**：立即联系 Themify 或访问 Patchstack 获取官方修复方案。

🚧 **临时规避**： 1. **禁用上传功能**：限制媒体库上传类型。 2. **权限最小化**：确保非管理员无法访问上传接口。 3. **WAF 防护**：拦截可疑的文件上传请求。

🔥 **优先级**：**高**。 ⚡ **理由**：CVSS 评分高（C:H/I:H/A:H），一旦利用可导致**完全失陷**。建议立即升级或采取缓解措施。