CVE-2025-48123 — 神龙十问 AI 深度分析摘要

🚨 **本质**：代码注入漏洞 (CWE-94)。 💥 **后果**：攻击者可执行任意代码，导致服务器被完全控制。

🔍 **缺陷点**：代码生成控制不当。 🏷️ **CWE**：CWE-94 (代码注入)。

📦 **组件**：Spreadsheet Price Changer for WooCommerce and WP E-commerce – Light。 🏢 **厂商**：Holest Engineering。 📅 **版本**：2.4.37 及之前版本。

👑 **权限**：高 (CVSS S:C)。 📊 **影响**：机密性、完整性、可用性均严重受损 (C:H, I:H, A:H)。 🔓 **能力**：远程代码执行 (RCE)。

🚪 **门槛**：极低。 🔑 **认证**：无需认证 (PR:N)。 🌐 **网络**：网络可达即可 (AV:N)。 👁️ **交互**：无需用户交互 (UI:N)。

📜 **PoC**：数据中未提供具体 PoC 链接。 🌍 **在野**：未提及在野利用情况。 🔗 **参考**：Patchstack 数据库有相关条目。

🔎 **自查**：检查 WordPress 插件列表。 📋 **特征**：查找名称包含 "Spreadsheet Price Changer" 的插件。 📌 **版本**：确认版本是否 ≤ 2.4.37。

🛠️ **补丁**：数据未提供具体补丁链接。 ⚠️ **建议**：参考 Patchstack 链接获取官方修复方案。 🔄 **状态**：漏洞已公开 (2025-06-09)。

🛡️ **临时规避**：立即禁用或卸载该插件。 🚫 **限制**：若必须使用，限制插件目录访问权限。 📉 **风险**：无补丁时风险极高，建议优先移除。

🔥 **优先级**：极高 (Critical)。 ⚡ **理由**：无需认证、远程执行、影响全面。 🏃 **行动**：立即修复或隔离，勿拖延。