CVE-2025-49414 — 神龙十问 AI 深度分析摘要

🚨 **本质**：任意文件上传漏洞。FW Gallery 插件允许上传**危险类型文件**。后果：攻击者可执行**恶意代码**，彻底接管站点。

🔍 **CWE-434**：任意文件上传。缺陷点在于**未严格校验**上传文件的类型，导致危险文件（如PHP）被服务器接受。

🎯 **受影响**：WordPress 插件 **FW Gallery**。版本：**8.0.0 及之前版本**。厂商：Fastw3b LLC。

💀 **黑客能力**：CVSS 评分极高（H/H/H）。可获取**高权限**，读取/篡改敏感数据，植入 Webshell，完全控制服务器。

⚡ **门槛极低**：CVSS 显示 **AV:N/AC:L/PR:N/UI:N**。无需认证、无需用户交互、网络远程即可利用，极易被自动化攻击。

📦 **现状**：数据中 **pocs 为空**。暂无公开 PoC 或确认的在野利用，但鉴于利用简单，风险随时爆发。

🔎 **自查**：检查 WordPress 后台插件列表，确认是否安装 **FW Gallery**。核对版本号是否 **≤ 8.0.0**。

🛡️ **补丁**：参考链接指向 Patchstack 数据库，通常意味着厂商已发布修复版本或提供缓解建议。建议立即检查官方更新。

🚧 **临时规避**：若无法升级，立即**停用并删除**该插件。或在服务器层面配置 Web 服务器（Nginx/Apache）**禁止执行**上传目录下的 PHP 脚本。

🔥 **优先级：紧急**。CVSS 向量全 H，且无需权限。建议**立即修复**，否则站点面临被黑的高风险。