CVE-2025-32926 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径遍历漏洞 (Path Traversal)。 📉 **后果**：攻击者可读取服务器敏感文件，甚至导致 **PHP对象注入**，完全控制站点。

🔍 **CWE-22**：路径名限制不当。 🐛 **缺陷点**：未对用户输入的路径进行严格过滤，导致 `../` 等序列被解析。

🏢 **厂商**：ThemeGoods。 📦 **产品**：WordPress 主题 **Grand Restaurant**。 📅 **版本**：**7.0 及之前版本**均受影响。

👮 **权限**：无需认证 (PR:N)。 💾 **数据**：高机密性 (C:H)、高完整性 (I:H)、高可用性 (A:H)。 🔓 **能力**：可读取任意文件，执行恶意代码。

📶 **利用门槛**：**极低**。 🔑 **条件**：网络访问 (AV:N)、低复杂度 (AC:L)、无需用户交互 (UI:N)。 🚀 **难度**：小白也能跑通。

📜 **PoC**：数据中未提供具体 PoC 代码。 🌍 **在野**：暂无明确在野利用报告，但漏洞已公开，风险极高。

🔎 **自查**：检查 WordPress 后台主题是否为 **Grand Restaurant**。 📊 **版本**：确认版本号是否 **≤ 7.0**。 🛠️ **扫描**：使用 WAF 或漏洞扫描器检测路径遍历特征。

🛡️ **官方修复**：数据未提供具体补丁链接或版本号。 📢 **建议**：立即联系 ThemeGoods 获取最新安全版本或更新说明。

⚠️ **临时规避**： 1. **升级**：尽快更新至修复版本。 2. **WAF**：部署 Web 应用防火墙，拦截 `../` 等恶意路径。 3. **权限**：限制 Web 目录读取权限。

🔥 **优先级**：**紧急 (Critical)**。 🚨 **CVSS**：9.8 分（极高危）。 💡 **行动**：立即下线或隔离受影响站点，防止被自动化脚本攻击。