CVE-2025-48129 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:权限分配不当(Privilege Escalation)。 💥 **后果**:未授权攻击者可直接提升为管理员,完全控制站点。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-266(对特权功能的错误权限分配)。 📍 **缺陷**:插件内部权限检查逻辑缺失或绕过。
Q3影响谁?(版本/组件)
📦 **组件**:Spreadsheet Price Changer for WooCommerce and WP E-commerce – Light。 🏢 **厂商**:Holest Engineering。 📉 **版本**:2.4.37 及更早版本。
Q4黑客能干啥?(权限/数据)
👑 **权限**:从“无权限”直接升至 **Administrator**。 🗄️ **数据**:可读取/修改所有网站数据、用户信息、配置。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:极低。 🔓 **认证**:**无需认证**(Unauthenticated)。 🖱️ **交互**:无需用户界面交互(UI:N)。
Q6有现成Exp吗?(PoC/在野利用)
💻 **PoC**:有现成利用代码。 🔗 **来源**:GitHub (Nxploited/CVE-2025-48129)。 ⚠️ **状态**:已在野利用风险高。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 WordPress 插件列表。 📋 **特征**:名称包含 `Spreadsheet Price Changer` 或 `Excel-like price change`。 📅 **版本**:确认版本号 ≤ 2.4.37。
Q8官方修了吗?(补丁/缓解)
🛡️ **补丁**:❌ **暂无官方修复版本**。 📢 **状态**:截至数据发布,未提供安全更新。
Q9没补丁咋办?(临时规避)
🛑 **规避**:立即 **禁用/卸载** 该插件。 🔄 **替代**:寻找功能相似的已更新插件替代。 🔒 **限制**:若必须保留,严格限制访问权限(但风险仍存)。
Q10急不急?(优先级建议)
🔴 **优先级**:**极高 (Critical)**。 📈 **CVSS**:9.8 分。 ⏱️ **建议**:**立即行动**,这是高危未修复漏洞,随时可能被自动化扫描利用。