CVE-2025-46468 — 神龙十问 AI 深度分析摘要

🚨 **本质**：PHP本地文件包含 (LFI)。 🔥 **后果**：攻击者可读取服务器敏感文件，甚至执行恶意代码，导致**数据泄露**或**服务器沦陷**。

🔍 **CWE**：CWE-98 (Improper Control of Filename for Include/Require)。 🐛 **缺陷**：**文件名控制不当**。插件未对用户输入的文件名进行严格校验，导致可包含任意本地文件。

🎯 **受影响**：WordPress Plugin **Fable Extra**。 📦 **版本**：**1.0.6 及之前版本**。 🏢 **厂商**：WPFable。

💀 **黑客能力**： 1. **读取**：任意本地文件（如 wp-config.php 获取数据库密码）。 2. **执行**：若包含可执行文件，可能导致远程代码执行 (RCE)。 3. **权限**：获取服务器控制权，完全接管网站。

⚡ **利用门槛**：**极低**。 📊 **CVSS**：AV:N/AC:L/PR:N/UI:N。 ✅ **无需认证**。 ✅ **无需用户交互**。 ✅ **网络远程**即可利用。

📦 **Exp/PoC**：数据中 **pocs 为空**。 🌐 **在野利用**：未提及。 ⚠️ **注意**：虽无公开 PoC，但 LFI 是成熟攻击向量，**极易编写利用脚本**。

🔎 **自查方法**： 1. 检查插件版本是否为 **Fable Extra ≤ 1.0.6**。 2. 扫描 URL 参数中是否存在 **file/include** 等敏感字。 3. 尝试构造 LFI 请求（如 `?file=../../etc/passwd`）测试响应。

🛡️ **官方修复**：数据未提供具体补丁链接或版本号。 📝 **建议**：参考 Patchstack 链接，联系厂商 **WPFable** 获取最新安全更新或升级至修复版本。

🚧 **临时规避**： 1. **禁用插件**：立即停用 Fable Extra。 2. **WAF 防护**：配置 Web 应用防火墙，拦截包含 `../` 或敏感文件名的请求。 3. **权限最小化**：限制 Web 服务器用户对敏感文件的读取权限。

🔥 **优先级**：**紧急 (Critical)**。 📈 **CVSS 评分**：高 (C:H/I:H/A:H)。 💡 **建议**：鉴于**无需认证**且**影响严重**，建议**立即**采取缓解措施或升级插件。