CVE-2025-54713 — 神龙十问 AI 深度分析摘要

🚨 **本质**：身份验证绕过（替代路径/通道）。<br>🔥 **后果**：攻击者可非法获取高权限，导致数据泄露、篡改或服务中断。

🛡️ **CWE-288**：身份验证绕过。<br>🔍 **缺陷点**：插件未正确校验替代访问通道，导致安全控制失效。

📦 **组件**：Taxi Booking Manager for WooCommerce。<br>🏷️ **厂商**：magepeopleteam。<br>📉 **版本**：1.3.0 及之前所有版本。

👑 **权限**：滥用身份验证，获取未授权访问。<br>💾 **数据**：高机密性/完整性/可用性损失（CVSS C:H/I:H/A:H）。

🚪 **门槛**：极低。<br>🔑 **条件**：无需认证（PR:N），网络远程（AV:N），无需用户交互（UI:N）。

🧪 **Exp**：数据中 `pocs` 为空，暂无公开 PoC。<br>🌍 **在野**：未提及在野利用，但风险极高。

🔍 **自查**：检查 WordPress 是否安装该插件。<br>📋 **版本**：确认版本是否 ≤ 1.3.0。<br>🛠️ **工具**：使用 Patchstack 或 WPScan 扫描。

🔧 **补丁**：数据未提供具体补丁链接。<br>✅ **建议**：立即联系厂商 magepeopleteam 获取更新或降级。

🚧 **临时规避**：若无补丁，<br>1️⃣ 暂时禁用该插件。<br>2️⃣ 限制插件 API 访问 IP。<br>3️⃣ 加强 WAF 规则拦截异常路径。

🔴 **优先级**：紧急（Critical）。<br>⚡ **理由**：CVSS 满分风险，远程无需认证即可利用，建议立即处置。