CVE-2025-48140 — 神龙十问 AI 深度分析摘要

🚨 **本质**：代码注入漏洞。 💥 **后果**：攻击者可注入恶意代码，导致服务器被完全控制，数据泄露或网站瘫痪。

🔍 **CWE-94**：代码生成控制不当。 ⚠️ **缺陷点**：插件在处理数据时，未对输入进行严格过滤或转义，直接拼接执行。

📦 **组件**：WordPress 插件 MetalpriceAPI。 📉 **版本**：1.1.4 及之前所有版本均受影响。

👑 **权限**：远程代码执行 (RCE)。 📊 **数据**：高机密性/完整性/可用性损失 (C:H/I:H/A:H)，可读取敏感数据或篡改网站。

🔑 **门槛**：低。 🛡️ **认证**：需本地权限 (PR:L)，但无需用户交互 (UI:N)，攻击复杂度低 (AC:L)。

🚫 **Exp**：数据中未提供现成 PoC。 🌍 **在野**：暂无公开在野利用报告，但风险极高，需警惕。

🔎 **自查**：检查 WP 后台插件列表。 📋 **特征**：确认是否安装 **MetalpriceAPI** 且版本 **≤ 1.1.4**。

🛠️ **补丁**：官方已发布修复建议。 🔗 **参考**：Patchstack 数据库已收录详细修复指引，请升级至安全版本。

⏸️ **临时规避**：立即 **停用** 或 **卸载** 该插件。 🚫 **隔离**：若必须使用，限制访问权限并监控服务器日志异常。

🔥 **优先级**：极高。 ⚡ **建议**：CVSS 评分高，RCE 风险大，建议 **立即** 更新或移除插件，勿拖延。