CVE-2025-47552 — 神龙十问 AI 深度分析摘要

🚨 **本质**：反序列化不可信数据导致 **PHP对象注入**。后果严重，攻击者可执行任意代码，完全控制服务器。

🔍 **CWE-502**：反序列化漏洞。缺陷点在于 **DZS Video Gallery** 插件在处理数据时，未对输入进行严格校验，直接反序列化。

🛡️ **受影响**：**WordPress** 站点 + **DZS Video Gallery** 插件。版本：**12.37 及之前版本**。厂商：Digital zoom studio。

💀 **黑客能力**：CVSS 评分极高 (H/H/H)。可获取 **高机密性/完整性/可用性** 破坏。意味着 **RCE (远程代码执行)**、数据窃取、网站篡改。

⚡ **利用门槛**：**极低**。CVSS 向量显示：网络攻击 (AV:N)、低复杂度 (AC:L)、无需权限 (PR:N)、无需用户交互 (UI:N)。任何人皆可利用。

📦 **Exp 现状**：数据中 **pocs 为空**，无公开 PoC。但漏洞原理明确，利用代码极易编写。需警惕在野利用。

🔎 **自查方法**：检查 WordPress 后台插件列表。确认是否安装 **DZS Video Gallery**。核对版本号是否 **≤ 12.37**。

🩹 **官方修复**：数据未提供具体补丁链接，但引用了 Patchstack 的漏洞条目。通常需升级插件至 **修复版本** 或联系厂商获取补丁。

🚧 **临时规避**：若无法立即升级，建议 **暂时禁用/卸载** 该插件。或配置 WAF 拦截可疑的 **反序列化载荷** 和 PHP 对象注入特征。

🔥 **优先级**：**紧急 (Critical)**。无需认证、远程可直接利用、后果致命。建议 **立即** 排查并升级，或采取临时隔离措施。