CVE-2025-4689 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入 + 本地文件包含（LFI）链式利用。 💥 **后果**：可能导致 **远程代码执行 (RCE)**，服务器彻底沦陷。

🔍 **CWE**：CWE-98（命令注入/文件包含相关缺陷）。 📍 **缺陷点**：输入验证缺失，攻击者可构造恶意载荷串联两个漏洞。

📦 **组件**：Ads Pro Plugin - Multi-Purpose WordPress Advertising Manager。 🏷️ **厂商**：scripteo。 ⚠️ **版本**：**4.89 及之前版本**均受影响。

👑 **权限**：远程攻击者无需认证。 📂 **数据**：可读取/修改任意文件，执行系统命令，完全控制网站。

🚪 **门槛**：**极低**。 📊 **CVSS**：AV:N/AC:L/PR:N/UI:N（网络、低复杂度、无需权限、无需用户交互）。

🧪 **Exp/PoC**：数据中 **pocs 为空**，暂无公开现成利用代码。 🌍 **在野**：未提及在野利用情况。

🔎 **自查**：检查 WordPress 插件列表，确认是否安装 **Ads Pro**。 📋 **版本**：核对版本号是否 **≤ 4.89**。

🛡️ **补丁**：数据未提供具体补丁链接或修复版本。 🔗 **参考**：建议查阅 Wordfence 威胁情报页面获取最新修复指引。

🚧 **临时规避**： 1️⃣ **立即停用/卸载**该插件。 2️⃣ 若无替代方案，限制插件目录写入权限。 3️⃣ 启用 WAF 拦截 SQL 注入特征。

🔥 **优先级**：**紧急 (Critical)**。 💡 **建议**：CVSS 满分 10 分，RCE 风险极高，建议 **立即升级** 或 **移除** 该插件。