CVE-2025-5397 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:身份验证绕过。 🔥 **后果**:攻击者可非法登录,完全接管站点。 ⚠️ **核心**:`check_login` 函数未正确验证用户身份。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-288(身份验证绕过)。 🐛 **缺陷**:登录检查逻辑存在漏洞,未能有效校验凭证。
Q3影响谁?(版本/组件)
📦 **产品**:WordPress 插件 Noo JobMonster。 📅 **版本**:4.8.1 及之前所有版本。 🌐 **平台**:基于 PHP/MySQL 的 WordPress 博客/招聘网站。
Q4黑客能干啥?(权限/数据)
👑 **权限**:获取管理员或高权限账户访问权。 💾 **数据**:读取、修改或删除所有站点数据。 🛠️ **操作**:植入后门、篡改内容、窃取用户信息。
Q5利用门槛高吗?(认证/配置)
🚪 **认证**:无需认证(PR:N)。 🌐 **网络**:网络可访问(AV:N)。 🎯 **复杂度**:低(AC:L)。 👤 **交互**:无需用户交互(UI:N)。 📊 **CVSS**:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H(严重)。
Q6有现成Exp吗?(PoC/在野利用)
📜 **PoC**:数据中未提供公开 PoC。 🔥 **在野**:暂无在野利用报告。 🔗 **参考**:WordFence 已收录该漏洞情报。
Q7怎么自查?(特征/扫描)
🔍 **检测**:扫描 WordPress 插件列表。 📋 **特征**:检查是否安装 **Noo JobMonster**。 📌 **版本**:确认版本号为 **4.8.1** 或更低。
Q8官方修了吗?(补丁/缓解)
🛡️ **补丁**:需升级至修复后的最新版本。 📢 **状态**:官方已发布安全通告(2025-10-31)。 🔗 **来源**:参考 WordFence 和 ThemeForest 页面。
Q9没补丁咋办?(临时规避)
🚧 **临时措施**: 1️⃣ **禁用插件**:立即停用 Noo JobMonster。 2️⃣ **访问控制**:限制 `/wp-admin` 访问 IP。 3️⃣ **WAF**:配置防火墙拦截异常登录请求。
Q10急不急?(优先级建议)
🔴 **优先级**:极高(Critical)。 ⚡ **建议**:立即升级或禁用插件。 🚫 **风险**:CVSS 评分高,易被自动化攻击利用。