CVE-2025-49890 — 神龙十问 AI 深度分析摘要

🚨 **本质**：存储型 XSS 漏洞。 💥 **后果**：恶意脚本被持久化存储，受害者访问页面时自动执行，导致**会话劫持**或**页面篡改**。

🔍 **CWE**：CWE-502（反序列化/输入处理不当，此处特指输入验证缺失）。 🛠 **缺陷**：插件未对**用户输入**进行充分过滤或转义，直接渲染到前端。

📦 **组件**：WordPress 插件 **AWStats Script**。 📉 **版本**：**0.3 及之前版本**。 🏢 **厂商**：ThemeREX。

🕵️ **黑客能力**： - 窃取用户 **Cookie/Session**。 - 伪造用户身份执行操作。 - 钓鱼或重定向用户。 - **完全控制**受影响页面内容。

📶 **利用门槛**：**极低**。 - **无需认证** (PR:N)。 - **无需用户交互** (UI:N)。 - **远程利用** (AV:N)。 - **攻击复杂度低** (AC:L)。

🧪 **Exp/PoC**：数据中 **pocs 为空**。 🌍 **在野利用**：暂无明确在野利用报告，但鉴于 CVSS 高分，风险极高。

🔎 **自查方法**： 1. 检查 WP 插件列表，确认是否安装 **AWStats Script**。 2. 确认版本是否 **≤ 0.3**。 3. 扫描输入点是否缺少 XSS 过滤。

🛡️ **官方修复**：数据未提供具体补丁链接。 ⚠️ **注意**：参考链接指向另一个主题漏洞，**切勿混淆**。需关注插件官方更新日志。

🚧 **临时规避**： 1. **立即停用**并卸载该插件。 2. 清理数据库中可能存在的恶意脚本注入。 3. 强制用户**清除 Cookie** 并重新登录。

🔥 **优先级**：**紧急 (Critical)**。 📊 **CVSS**：**9.8** (极高)。 💡 **建议**：立即隔离受影响实例，优先处理存储型 XSS 带来的持久化风险。