CVE-2025-60156 — 神龙十问 AI 深度分析摘要

🚨 **本质**：跨站请求伪造 (CSRF) 漏洞。 💥 **后果**：攻击者可诱导管理员执行非预期操作，最终导致 **Web Shell 上传**，服务器彻底沦陷。

🛡️ **CWE-352**：缺乏有效的 CSRF 令牌验证。 🔍 **缺陷点**：插件在处理敏感操作时，未严格校验请求来源，导致“信任被滥用”。

📦 **组件**：WordPress 插件 **AR For WordPress**。 🏢 **厂商**：webandprint。 📅 **版本**：**7.98 及之前版本**均受影响。

🔓 **权限**：利用管理员身份执行操作。 💾 **数据**：上传 **Web Shell**，获取服务器 **完全控制权** (CVSS 评分极高，C:H/I:H/A:H)。

🚪 **门槛**：中等。 👤 **认证**：需诱导 **已登录的管理员** 点击恶意链接或访问恶意页面 (UI:R - 用户交互)。

📜 **Exp/PoC**：当前数据中 **暂无** 公开的具体 PoC 代码。 🌍 **在野利用**：信息不足，但鉴于后果严重，需警惕潜在利用。

🔍 **自查**：检查 WordPress 后台插件列表。 🔎 **特征**：确认是否安装 **AR For WordPress** 且版本 **≤ 7.98**。

🔧 **补丁**：官方已发布修复建议。 📌 **缓解**：参考 Patchstack 提供的安全数据库条目，升级至修复版本。

🛡️ **临时规避**： 1. 升级插件至最新版。 2. 若无更新，考虑 **暂时禁用** 该插件。 3. 加强管理员会话管理，缩短登录有效期。

🔥 **优先级**：**紧急 (Critical)**。 ⚠️ **建议**：CVSS 向量显示影响完整性、机密性和可用性均为高。请立即排查并修复，防止服务器被控。