CVE-2025-48293 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:PHP本地文件包含(LFI) 🔥 **后果**:攻击者可读取服务器敏感文件,甚至执行恶意代码,导致**服务器完全沦陷**。
Q2根本原因?(CWE/缺陷点)
🛡️ **CWE-98**:文件名控制不当 🔍 **缺陷点**:插件未对用户输入的文件路径进行严格校验,导致恶意路径被直接包含。
Q3影响谁?(版本/组件)
📦 **组件**:WordPress插件 Geo Mashup 📉 **版本**:1.13.16 及**之前所有版本**均受影响。
Q4黑客能干啥?(权限/数据)
💀 **权限**:最高权限(Root/System) 📂 **数据**:可读取任意本地文件(如配置文件、源码),并可能实现**远程代码执行**。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:极低 ✅ **认证**:无需认证(PR:N) 🌐 **网络**:远程利用(AV:N) ⚡ **复杂度**:低(AC:L)
Q6有现成Exp吗?(PoC/在野利用)
📜 **PoC**:暂无公开代码 🌍 **在野**:数据未显示在野利用 ⚠️ **风险**:CVSS评分极高,利用代码极易编写。
Q7怎么自查?(特征/扫描)
🔍 **自查**:检查WP后台插件列表 📋 **特征**:确认是否安装 **Geo Mashup** 且版本 **≤ 1.13.16**。
Q8官方修了吗?(补丁/缓解)
🔧 **补丁**:数据未提供具体补丁链接 💡 **建议**:参考 Patchstack 官方公告,通常需升级至修复版本或联系作者 Dylan Kuhn。
Q9没补丁咋办?(临时规避)
🛡️ **临时规避**:立即**停用/卸载**该插件 🚫 **网络**:若无补丁,建议暂时关闭插件相关功能入口,防止被利用。
Q10急不急?(优先级建议)
🔴 **优先级**:P0(紧急) ⚡ **理由**:CVSS **9.8** 分,无需权限即可远程利用,危害极大,建议**立即处置**。