CVE-2025-49072 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:反序列化不可信数据导致 **PHP对象注入**。后果:攻击者可注入恶意对象,完全控制服务器。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE-502**:反序列化漏洞。缺陷点在于处理 **不可信输入** 时未做安全校验,直接反序列化。
Q3影响谁?(版本/组件)
🛡️ **受影响**:WordPress 插件 **Mr. Murphy**。版本:**1.2.12.1 之前**的所有版本。厂商:AncoraThemes。
Q4黑客能干啥?(权限/数据)
💥 **黑客能力**:CVSS 评分极高 (H/H/H)。可读取敏感数据、篡改内容、执行任意代码,甚至 **接管服务器**。
Q5利用门槛高吗?(认证/配置)
⚡ **门槛低**:CVSS 向量显示 **无需认证** (PR:N)、**无需交互** (UI:N)、**网络远程** (AV:N)。极易利用。
Q6有现成Exp吗?(PoC/在野利用)
📦 **Exp现状**:数据中 **PoCs 为空**,暂无公开现成利用代码。但漏洞原理清晰,利用风险极高。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**:检查 WordPress 插件列表,确认是否安装 **Mr. Murphy** 且版本 **< 1.2.12.1**。
Q8官方修了吗?(补丁/缓解)
🛠️ **修复建议**:参考 Patchstack 链接。通常需升级插件至 **1.2.12.1 或更高版本** 以修复此漏洞。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**:若无补丁,建议 **立即禁用/卸载** 该插件。或限制网站访问权限,阻断外部恶意请求。
Q10急不急?(优先级建议)
🔥 **优先级:紧急**。CVSS 满分风险,无需权限即可利用。建议 **立即行动**,优先升级或停用插件。