CVE-2025-49410 — 神龙十问 AI 深度分析摘要

🚨 **本质**：存储型跨站脚本 (XSS) 漏洞。 💥 **后果**：恶意脚本被持久化存储，所有访问该页面的用户都会中招，导致会话劫持或页面篡改。

🔍 **CWE**：CWE-79 (跨站脚本)。 🛠 **缺陷**：输入验证不当。系统未对用户输入进行充分过滤或转义，直接渲染到前端。

📦 **产品**：WordPress 插件 TC Testimonials。 👤 **厂商**：Imran Emu。 📉 **版本**：1.1.1 及之前所有版本。

🕵️ **权限**：无需认证 (PR:N)。 📊 **数据**：可窃取用户 Cookie、Session，重定向用户，或植入恶意内容。影响范围极广。

🚪 **门槛**：极低。 ⚙️ **配置**：攻击向量网络 (AV:N)，攻击复杂度低 (AC:L)，无需用户交互 (UI:N)。任何人皆可利用。

🧪 **Exp**：数据中 `pocs` 字段为空，暂无公开 PoC。 🌍 **在野**：未提及在野利用情况，但鉴于 CVSS 评分极高，风险不容忽视。

🔎 **自查**：检查 WordPress 后台插件列表。 🔖 **特征**：确认是否安装 **TC Testimonials** 插件，且版本号 **≤ 1.1.1**。

🛡️ **补丁**：官方已发布安全公告 (2025-08-20)。 ✅ **修复**：建议立即升级至最新版本以修复输入验证逻辑。

⚠️ **规避**：若无补丁，可暂时 **禁用** 该插件。 🚫 **限制**：限制管理员权限，或使用 WAF 拦截包含 `<script>` 标签的输入。

🔥 **优先级**：**紧急**。 📈 **评分**：CVSS 3.1 满分附近 (AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H)。 💡 **建议**：立即升级，防止数据泄露。