CVE-2025-39477 — 神龙十问 AI 深度分析摘要

🚨 **本质**：InWave Jobs 插件存在**缺少授权**的安全漏洞。 💥 **后果**：攻击者可利用配置不当的访问控制，直接绕过权限检查，导致系统被非法入侵。

🛡️ **CWE ID**：**CWE-862**（缺少授权）。 🔍 **缺陷点**：插件未正确验证用户身份或权限，导致敏感操作无需授权即可执行。

📦 **受影响组件**：WordPress 插件 **InWave Jobs**。 🏢 **厂商**：**Sfwebservice**。 📅 **版本**：**3.5.8 及之前版本**。

🔓 **权限**：可绕过访问控制，获取未授权的操作权限。 📊 **数据**：CVSS 评分显示 **C:H, I:H, A:H**，意味着机密性、完整性和可用性均面临**高**风险，数据泄露或篡改风险极大。

🚪 **利用门槛**：**极低**。 📝 **条件**：CVSS 向量显示 **PR:N**（无需权限）、**UI:N**（无需用户交互）、**AV:N**（网络远程利用）。黑客无需登录即可远程攻击。

🧪 **Exp/PoC**：当前数据中 **pocs 为空**，暂无公开的具体利用代码。 🌍 **在野利用**：数据未提及在野利用情况，但鉴于 CVSS 高分，需高度警惕。

🔎 **自查方法**：检查 WordPress 后台已安装的插件列表。 🔍 **特征**：确认是否安装 **InWave Jobs** 插件，且版本号 **≤ 3.5.8**。

🩹 **官方修复**：数据未提供具体补丁链接或版本号。 📌 **建议**：参考 Patchstack 提供的漏洞详情页（vdb-entry），联系厂商 **Sfwebservice** 获取最新修复版本。

⚠️ **临时规避**：若无法立即升级，建议**暂时禁用**该插件。 🚫 **操作**：在 WordPress 后台停用 InWave Jobs，或移除相关目录，阻断攻击面。

🔥 **优先级**：**紧急**。 📈 **理由**：CVSS 3.1 满分风险（C:H/I:H/A:H），且无需认证即可远程利用。建议**立即**排查并升级或禁用。