CVE-2025-32641 — 神龙十问 AI 深度分析摘要
CVSS 9.6 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:跨站请求伪造 (CSRF)。<br>🔥 **后果**:攻击者可诱导管理员执行未授权操作,导致**任意插件安装**,进而可能完全控制网站。
Q2根本原因?(CWE/缺陷点)
🛡️ **CWE-352**:缺乏有效的 CSRF 令牌验证。<br>🔍 **缺陷点**:关键管理功能(如插件安装)未校验请求来源合法性。
Q3影响谁?(版本/组件)
📦 **组件**:Anant Addons for Elementor。<br>🏷️ **厂商**:anantaddons。<br>📉 **版本**:**1.1.5 及之前**所有版本。
Q4黑客能干啥?(权限/数据)
💀 **权限**:利用管理员会话。<br>📂 **数据/操作**:无需管理员同意,**静默安装恶意插件**。一旦安装,攻击者可获取网站最高控制权。
Q5利用门槛高吗?(认证/配置)
📶 **认证**:无需认证(针对攻击者)。<br>👤 **UI 要求**:需要管理员**点击**恶意链接或访问恶意页面(UI:R)。<br>🌐 **网络**:远程利用 (AV:N)。
Q6有现成Exp吗?(PoC/在野利用)
💻 **PoC**:有!GitHub 上已有公开 PoC。<br>🔗 **链接**:`https://github.com/Nxploited/CVE-2025-32641`。<br>⚠️ **描述**:CSRF 导致任意插件安装。
Q7怎么自查?(特征/扫描)
🔍 **自查**:检查 WordPress 后台插件列表。<br>📋 **特征**:确认是否安装 **Anant Addons for Elementor** 且版本 **≤ 1.1.5**。<br>🛠️ **工具**:使用 Patchstack 等数据库扫描。
Q8官方修了吗?(补丁/缓解)
🔧 **补丁**:数据未提供具体补丁版本,但指出 **1.1.5 及之前**受影响。<br>✅ **建议**:立即联系厂商获取 **1.1.6+** 或修复后的版本。
Q9没补丁咋办?(临时规避)
🚫 **临时规避**:<br>1. **禁用/卸载**该插件。<br>2. 实施严格的 **CSRF 防护**策略(如额外令牌验证)。<br>3. 限制管理员访问权限。
Q10急不急?(优先级建议)
🔴 **优先级**:**CRITICAL (9.6)**。<br>⚡ **紧急度**:**极高**。<br>💡 **建议**:立即修复,防止网站被植入后门或完全接管。