CVE-2025-47588 — 神龙十问 AI 深度分析摘要

🚨 **本质**：代码注入漏洞（CWE-94）。 💥 **后果**：攻击者可注入恶意代码，导致服务器被完全控制，数据泄露或网站瘫痪。

🔍 **根本原因**：代码生成控制不当。 📉 **缺陷点**：插件在处理逻辑时未正确验证或清理输入，导致恶意代码被执行。

🎯 **影响组件**：WordPress 插件 **Dynamic Pricing With Discount Rules for WooCommerce**。 📦 **受影响版本**：**4.5.9 及之前版本**。

🕵️ **黑客能力**： - **执行任意代码**：在服务器上运行命令。 - **权限提升**：获取服务器最高权限。 - **数据窃取**：读取敏感数据库信息。 - **服务中断**：破坏网站正常运行。

🔑 **利用门槛**：中等。 - **网络访问**：远程利用 (AV:N)。 - **复杂度**：低 (AC:L)。 - **认证要求**：**需要认证** (PR:H)，即攻击者需具备登录权限。

📦 **Exp/PoC**：当前数据中 **无现成 PoC** (pocs: [])。 🌍 **在野利用**：暂无公开在野利用报告，但风险极高，需警惕。

🔎 **自查方法**： 1. 检查 WordPress 后台插件列表。 2. 确认插件名称是否为 **Dynamic Pricing With Discount Rules for WooCommerce**。 3. 核对版本号是否 **≤ 4.5.9**。 4. 使用漏洞扫描工具检测代码注入特征。

🛡️ **官方修复**： - 厂商：**acowebs**。 - 状态：建议立即升级至 **最新版本**。 - 参考：Patchstack 漏洞数据库已收录，请关注官方更新。

🚧 **临时规避**： 1. **立即停用**该插件。 2. 若必须使用，限制插件访问权限，仅允许管理员操作。 3. 加强服务器 WAF 规则，拦截可疑代码注入请求。 4. 定期备份数据库，以防万一。

⚡ **优先级**：**紧急 (Critical)**。 - **CVSS 评分**：高 (AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)。 - **建议**：虽然需要认证，但一旦突破，后果严重。建议 **立即升级** 或 **停用** 插件。