CVE-2025-3604 — 神龙十问 AI 深度分析摘要

🚨 **本质**：身份验证缺失导致账户接管。<br>🔥 **后果**：攻击者可完全控制管理员账户，实现权限提升，甚至接管整个 WordPress 站点。

🛡️ **CWE-862**：缺少授权/身份验证。<br>🔍 **缺陷点**：插件在更新用户资料（如邮箱）前，**未正确验证用户身份**。

📦 **组件**：WordPress 插件 **Flynax Bridge**。<br>📅 **版本**：**2.2.0 及之前**的所有版本均受影响。

👑 **权限**：从**未认证**直接提升至**管理员**权限。<br>💾 **数据**：可修改任意用户（含管理员）邮箱，重置密码，完全接管账号。

🚪 **门槛极低**。<br>✅ **无需认证**：攻击者无需登录即可发起攻击。<br>⚙️ **无需配置**：利用条件简单，直接通过 API 接口即可触发。

💻 **有现成 PoC**。<br>🔗 参考链接：`https://github.com/Nxploited/CVE-2025-3604`。<br>⚠️ 攻击流程清晰：改邮箱 -> 触发重置 -> 接管账户。

🔍 **自查特征**：<br>1. 检查 WP 插件列表是否包含 **Flynax Bridge**。<br>2. 确认版本是否 **≤ 2.2.0**。<br>3. 扫描接口 `/request.php` 是否存在未授权修改用户信息的逻辑。

🛠️ **官方已修复**。<br>📌 参考修订版：`3306501`。<br>🔗 建议立即前往 WordPress 官方插件库或 GitHub 获取最新补丁。

🚧 **临时规避**：<br>1. **立即停用**该插件。<br>2. 若必须使用，限制 `/request.php` 的访问权限（如 IP 白名单）。<br>3. 强制所有管理员修改高强度密码。

🔴 **优先级：极高 (Critical)**。<br>⚡ **CVSS 9.8**：远程、无需认证、高影响。<br>🏃 **行动**：建议 **立即** 更新或停用插件，防止被自动化脚本批量利用。