CVE-2025-4828 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径遍历漏洞（Path Traversal）。<br>🔥 **后果**：因文件路径验证不足，导致**任意文件删除**风险，系统完整性受损。

🛡️ **CWE**：CWE-22（路径遍历）。<br>🔍 **缺陷点**：对**文件路径**的输入验证存在严重缺失，未过滤非法字符。

📦 **组件**：WordPress Plugin **Support Board**。<br>🏢 **厂商**：Schiocco。<br>📅 **版本**：**3.8.0** 及之前所有版本。

💀 **权限**：攻击者可利用漏洞执行高危操作。<br>📂 **数据**：直接导致**任意文件删除**，破坏网站文件结构，可能导致服务瘫痪。

🔓 **门槛**：**极低**。<br>🌐 **网络**：AV:N（网络攻击）。<br>🔑 **认证**：PR:N（无需认证）。<br>👀 **交互**：UI:N（无需用户交互）。

📜 **PoC**：当前数据中 **pocs** 字段为空，暂无公开现成代码。<br>🌍 **在野**：未提及在野利用情况，但CVSS评分极高，风险不容忽视。

🔍 **自查**：检查 WordPress 后台插件列表。<br>🔎 **特征**：确认是否安装 **Support Board** 插件。<br>📉 **版本**：核对版本号是否 **≤ 3.8.0**。

🛠️ **补丁**：数据未提供具体补丁链接。<br>💡 **建议**：参考官方参考链接（Codecanyon/Wordfence）获取最新修复版本或升级指引。

⚠️ **规避**：若无法立即升级，建议**暂时禁用**该插件。<br>🚫 **限制**：严格限制插件目录的**文件写入权限**，防止被恶意删除。

🚨 **优先级**：**紧急**。<br>📊 **CVSS**：**9.8** (Critical)。<br>💡 **行动**：C/H/I/H 全高，需**立即**排查并修复，防止文件被删导致业务中断。