CVE-2025-47637 — 神龙十问 AI 深度分析摘要

🚨 **本质**：文件类型限制不当导致的代码问题。 💥 **后果**：攻击者可上传 **Web Shell**，直接控制服务器。

🔍 **CWE**：CWE-434（不安全的文件上传）。 📍 **缺陷点**：对上传文件的 **类型检查** 存在漏洞，未能有效拦截恶意脚本。

📦 **厂商**：STAGGS。 📌 **产品**：WordPress Plugin STAGGS。 📅 **版本**：**2.11.0 及之前版本** 均受影响。

👑 **权限**：获得服务器 **Web Shell** 权限。 📊 **数据**：可读取、修改、删除网站数据，甚至横向渗透内网。

🚪 **门槛**：**极低**。 🔑 **认证**：无需认证（PR:N）。 🌐 **网络**：远程利用（AV:N）。 ⚡ **复杂度**：低（AC:L）。

📜 **PoC**：数据中未提供具体 PoC 代码。 🌍 **在野**：暂无明确在野利用报告，但 CVSS 评分极高，风险极大。

🔎 **自查**：检查 WordPress 插件列表。 📉 **版本**：确认是否安装 **STAGGS** 且版本 **≤ 2.11.0**。

🛡️ **补丁**：建议升级至 **2.11.0 之后** 的最新安全版本。 🔗 **参考**：Patchstack 已发布相关漏洞数据库条目。

⚠️ **临时规避**： 1. **禁用**该插件。 2. 严格配置服务器 **文件上传目录** 权限，禁止执行 PHP。 3. 使用 WAF 拦截恶意文件上传请求。

🔥 **优先级**：**紧急**。 📈 **CVSS**：**9.8** (Critical)。 💡 **建议**：立即修复，防止服务器被完全接管。