CVE-2025-5746 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:文件上传验证缺失。 💥 **后果**:攻击者可上传恶意文件,导致**远程代码执行 (RCE)**。 ⚠️ **严重性**:CVSS 满分 9.8,高危! 📉 **影响**:服务器被控,数据泄露。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-434 (不受限制的文件上传)。 🐛 **缺陷点**:函数 `dnd_upload_cf7_upload_chunks`。 ❌ **问题**:未对**文件类型**进行有效验证。 🧠 **核心**:信任了用户输入的文件后缀/类型。
Q3影响谁?(版本/组件)
🏢 **厂商**:CodeDropz。 📦 **产品**:Drag and Drop Multiple File Upload (Pro) - WooCommerce。 📅 **版本**: - 5.0 至 5.0.5 - 1.7.1 及更早版本。 🌐 **平台**:WordPress + WooCommerce。
Q4黑客能干啥?(权限/数据)
👮 **权限**:无需认证 (PR:N)。 📂 **数据**:可读取敏感数据 (C:H)。 💻 **控制**:完全控制服务器 (I:H, A:H)。 🔓 **能力**:上传 Webshell,执行任意命令。
Q5利用门槛高吗?(认证/配置)
🚪 **认证**:不需要登录 (UI:N)。 🌍 **网络**:远程利用 (AV:N)。 🎯 **复杂度**:低 (AC:L)。 📉 **门槛**:极低,任何人都能尝试攻击。
Q6有现成Exp吗?(PoC/在野利用)
📜 **PoC**:数据中未提供公开 PoC。 🌍 **在野**:暂无明确在野利用报告。 ⏳ **状态**:虽无现成 Exp,但利用逻辑简单,风险极高。 👀 **注意**:不要等待 PoC,立即修复。
Q7怎么自查?(特征/扫描)
🔎 **检测**:扫描 WordPress 插件列表。 📋 **特征**:查找名为 `Drag and Drop Multiple File Upload` 的插件。 📊 **版本**:确认版本是否在 5.0-5.0.5 或 <=1.7.1。 🛠️ **工具**:使用 WPScan 或插件漏洞数据库。
Q8官方修了吗?(补丁/缓解)
🛡️ **补丁**:官方已发布修复版本。 📥 **行动**:升级至**安全版本**。 🔗 **参考**:CodeDropz 官网或 WordPress 插件库。 ✅ **状态**:修复方案明确,建议立即升级。
Q9没补丁咋办?(临时规避)
🚫 **临时**:禁用该插件。 🛑 **替代**:使用其他安全的上传插件。 🔒 **WAF**:配置 WAF 拦截恶意文件上传请求。 📂 **权限**:限制上传目录执行权限(如禁止 .php 执行)。
Q10急不急?(优先级建议)
🔥 **优先级**:P0 (紧急)。 ⚡ **理由**:CVSS 9.8,无需认证,远程 RCE。 🏃 **行动**:立即升级或禁用插件。 ⏰ **时间**:2025-07-02 公布,已无缓冲期。