CVE-2025-49400 — 神龙十问 AI 深度分析摘要

🚨 **本质**：存储型 XSS 漏洞。 💥 **后果**：恶意脚本被持久化存储在服务器数据库中，所有访问该统计页面的用户都会中招，导致**会话劫持**或**页面篡改**。

🔍 **CWE-79**：跨站脚本（XSS）。 📍 **缺陷点**：插件对**用户输入**缺乏严格的过滤和转义，直接渲染到前端页面。

📦 **组件**：WP Visitor Statistics (Real Time Traffic)。 🏷️ **厂商**：osama.esh。 ⚠️ **版本**：**8.2 及之前版本**均受影响。

🕵️ **黑客权限**：以受害者身份执行任意 JS 代码。 💾 **数据风险**：窃取 **Cookie/Session**、记录键盘输入、重定向钓鱼、修改页面内容。

📉 **门槛极低**。 🔓 **无需认证**：CVSS 显示 PR:N（无权限要求）。 🖱️ **无需交互**：UI:N（无需用户交互），只要有人访问受影响页面即可触发。

🚫 **暂无公开 Exp**。 📄 **PoC**：数据中 `pocs` 为空，目前无已知在野利用代码，但风险极高。

🔎 **自查方法**： 1. 检查 WordPress 插件列表，确认是否安装 **WP Visitor Statistics**。 2. 核对版本号是否 **≤ 8.2**。 3. 扫描后台是否存在未转义的输入点。

🛡️ **官方修复**：建议立即升级至**最新版本**（>8.2）。 📝 **缓解**：若无法升级，需手动审查代码，对用户输入进行 **HTML 实体编码**。

🛑 **临时规避**： 1. **停用**该插件。 2. 配置 WAF 规则，拦截包含 `<script>` 或事件处理器的请求。 3. 限制后台访问 IP。

🔥 **优先级：高**。 ⚖️ **CVSS 评分**：9.1（Critical）。 🚀 **建议**：立即行动！存储型 XSS 危害大，且利用无需用户交互，极易造成大规模数据泄露。