CVE-2025-31380 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WordPress插件 **Paid Videochat Turnkey Site** 存在 **授权问题漏洞**。 💥 **后果**：由于 **弱密码恢复机制**，攻击者可轻易 **劫持账户** 或 **重置密码**，导致系统被完全控制。

🔍 **CWE ID**：**CWE-640** (Improper Weak Password Recovery For Authentication)。 📍 **缺陷点**：密码找回流程缺乏足够的 **身份验证** 或 **安全性检查**，机制过于脆弱。

🎯 **受影响组件**：**Paid Videochat Turnkey Site** (由 videowhisper 开发)。 📦 **版本范围**：**7.3.11 及之前版本**。 🌐 **平台**：基于 **WordPress** 的博客/视频平台。

🕵️ **黑客权限**：可绕过正常登录，直接 **重置管理员或其他用户密码**。 📊 **数据风险**：CVSS评分极高 (**C:H/I:H/A:H**)，意味着 **机密性、完整性、可用性** 均遭受 **严重** 破坏。

🚪 **利用门槛**：**极低**。 📝 **条件**：CVSS向量显示 **AV:N/AC:L/PR:N/UI:N**，即 **网络远程**、**低复杂度**、**无需认证**、**无需用户交互** 即可利用。

📜 **Exp/PoC**：当前漏洞库中 **pocs** 字段为空，暂无公开 **现成代码**。 🌍 **在野利用**：数据未明确提及，但鉴于利用门槛低，风险极高。

🔎 **自查方法**： 1. 检查 WordPress 插件列表，确认是否安装 **Paid Videochat Turnkey Site**。 2. 核对版本号是否 **≤ 7.3.11**。 3. 测试密码重置功能，看是否无需强验证即可重置。

🛡️ **官方修复**：数据未提供具体补丁链接，但通常需升级至 **修复后的最新版本**。 📢 **参考源**：Patchstack 已收录此漏洞详情，建议查阅其官方建议。

⚠️ **临时规避**： 1. **禁用** 该插件或暂时卸载。 2. 若必须使用，限制 **密码重置接口** 的访问权限（如通过防火墙）。 3. 强制启用 **双因素认证 (2FA)** 增加额外保护层。

🔥 **优先级**：**紧急 (Critical)**。 💡 **理由**：CVSS 满分风险 (**9.8+**)，无需认证即可利用，直接威胁 **账户安全** 和 **数据完整**，建议 **立即** 排查并升级。