CVE-2025-32577 — 神龙十问 AI 深度分析摘要

🚨 **本质**：PHP本地文件包含 (LFI)。 🔥 **后果**：攻击者可读取服务器敏感文件，甚至可能执行恶意代码，导致**数据泄露**或**服务器沦陷**。

🛡️ **CWE-98**：文件路径控制不当。 🔍 **缺陷点**：PHP程序中**包含或引用语句**的文件名未做严格校验，导致攻击者能操控文件路径。

📦 **组件**：WordPress 插件 **Build App Online**。 👤 **厂商**：hakeemnala。 📉 **版本**：**1.0.23 及之前**的所有版本均受影响。

💀 **权限**：高危 (CVSS H)。 📂 **数据**：可读取**本地敏感文件**（如配置文件、源码）。 ⚡ **影响**：完整性 (I:H) 和可用性 (A:H) 均受重创，可能导致**完全控制**。

🚪 **门槛**：低。 🔑 **认证**：**无需认证** (PR:N)。 🌐 **网络**：远程利用 (AV:N)。 ⚡ **复杂度**：低 (AC:L)，无需用户交互 (UI:N)。

📜 **PoC**：数据中 **pocs 为空**，暂无公开代码。 🌍 **在野**：未提及。 ⚠️ **注意**：虽无现成Exp，但漏洞原理简单，**利用难度极低**。

🔍 **自查**：检查 WordPress 插件列表。 🔎 **特征**：查找名为 **Build App Online** 的插件。 📋 **版本**：确认版本号是否 **≤ 1.0.23**。

🛠️ **补丁**：数据未提供具体补丁链接或版本号。 📢 **建议**：参考 Patchstack 链接获取最新修复方案，通常需升级至**修复后的新版本**。

🚧 **临时规避**： 1️⃣ **立即停用**该插件。 2️⃣ **卸载**该插件。 3️⃣ 若必须保留，配置 WAF 拦截包含 `../` 等路径遍历字符的请求。

🔥 **优先级**：**紧急**。 📊 **CVSS**：高分 (H)。 ⚡ **理由**：**远程、无认证、低复杂度**即可利用，且后果严重。建议**立即行动**。