CVE-2025-4606 — 神龙十问 AI 深度分析摘要

🚨 **本质**：未授权的身份验证缺失。 💥 **后果**：攻击者可重置任意用户密码，导致**账户接管**和**权限提升**（甚至获取管理员权限）。

🔍 **CWE-620**：未验证身份即执行敏感操作。 📍 **缺陷点**：`change_password_ajax` 函数注册在 `wp_ajax_nopriv_` 钩子下，**未校验请求者身份**即可直接调用。

📦 **组件**：WordPress 主题 **Sala - Startup & SaaS WordPress Theme**。 🏢 **厂商**：uxper。 📉 **版本**：**1.1.4 及之前版本**。

🔓 **权限**：从**未认证**直接跃升至**管理员**。 📊 **数据**：可重置任意用户（含Admin）密码，完全控制账户，造成**高机密性/完整性/可用性**损失。

📉 **门槛极低**。 ✅ **无需认证**：无需登录即可访问。 ✅ **无需交互**：直接调用暴露的 AJAX 端点。 ✅ **配置简单**：无需特殊服务器配置，利用条件为 **AV:N/AC:L/PR:N/UI:N**。

🔥 **有现成 PoC**。 🔗 GitHub 上已有多个利用代码（如 `Yucaerin/CVE-2025-4606`），明确展示了通过密码重置接口进行提权的过程。

🔍 **自查特征**： 1. 检查 WordPress 主题是否为 **Sala** 且版本 **≤1.1.4**。 2. 扫描是否存在未验证身份的 `change_password_ajax` 端点。 3. 尝试直接 POST 请求该 AJAX 接口看是否响应。

🛡️ **官方修复**：数据未提供具体补丁链接，但指出 **1.1.5+** 应已修复。 ⚠️ **注意**：需联系厂商 uxper 或 Themeforest 获取最新安全版本。

🚧 **临时规避**： 1. **禁用/删除**该主题或相关插件。 2. 在 WAF/防火墙中**拦截**对 `change_password_ajax` 端点的未认证请求。 3. 强制所有密码重置流程通过标准 WordPress 界面进行。

🔴 **优先级：极高**。 ⚡ **CVSS 9.8**：高危漏洞。 🚀 **建议**：**立即升级**主题版本或采取临时缓解措施，防止被自动化脚本批量利用接管站点。