CVE-2025-54677 — 神龙十问 AI 深度分析摘要

🚨 **本质**：文件上传功能存在缺陷，未严格限制危险文件类型。 💥 **后果**：攻击者可上传恶意文件，直接导致 **RCE（远程代码执行）**，服务器彻底沦陷。

🔍 **CWE-434**：不安全的文件上传。 🐛 **缺陷点**：后端仅校验 **Content-Type** 字段，未校验文件实际签名（Magic Bytes）。

📦 **组件**：Online Booking & Scheduling Calendar for WordPress by vcita。 📉 **版本**：**4.5.3 及之前**所有版本均受影响。

👑 **权限**：获得服务器最高控制权（RCE）。 📂 **数据**：可窃取数据库、读取敏感配置、植入后门，完全掌控网站。

🔑 **门槛**：中等。 ⚠️ **要求**：需要 **PR:H（高权限）**，即攻击者需拥有 WordPress 后台登录账号才能触发上传。

💻 **PoC**：有现成利用代码（GitHub链接已提供）。 🛠️ **技巧**：伪造 Content-Type 为 `image/png`，文件头改为 `GIF87a` 即可绕过。

🔎 **自查**：检查插件版本是否 ≤ 4.5.3。 📡 **扫描**：重点监测后台上传接口，看是否允许非图片格式（如 .php/.jsp）上传。

🛡️ **状态**：官方已发布修复建议（参考 Patchstack 链接）。 ✅ **行动**：请立即升级至 **4.5.4 或更高版本** 以修复此漏洞。

⏸️ **临时规避**：若无补丁，**禁用**该插件的文件上传功能。 🚫 **权限管控**：严格限制后台管理员账号，防止未授权访问上传接口。

🔥 **优先级**：**紧急 (High)**。 ⚡ **理由**：CVSS 评分极高（C:H/I:H/A:H），一旦后台被攻破，后果灾难性。建议 **立即修复**。