CVE-2025-60216 — 神龙十问 AI 深度分析摘要

🚨 **本质**：PHP 反序列化不可信数据，导致 **对象注入**。后果：攻击者可远程执行恶意代码，完全控制服务器。

🔍 **CWE-502**：反序列化漏洞。缺陷点在于处理用户输入时，未对数据进行严格校验直接反序列化，引发 **PHP Object Injection**。

🛡️ **受影响**：WordPress 主题 **Addison**。版本：**1.4.2 及之前版本**。厂商：**BoldThemes**。

💥 **黑客权限**：CVSS 评分极高（H/I/H）。可获取 **高机密性**、**高完整性** 和 **高可用性** 影响。即：读取敏感数据、篡改网站内容、导致服务瘫痪。

⚡ **利用门槛**：极低。CVSS 向量显示 **AV:N** (网络), **AC:L** (低复杂度), **PR:N** (无需认证), **UI:N** (无需用户交互)。远程匿名即可利用。

📦 **Exp/PoC**：数据中 **pocs 为空**。暂无公开现成 Exp 或确认的在野利用报告，但漏洞原理成熟，利用风险高。

🔎 **自查方法**：检查 WordPress 后台主题列表。若主题名为 **Addison** 且版本号 **≤ 1.4.2**，即存在风险。可扫描特定文件中的反序列化函数调用。

🛠️ **补丁状态**：数据未提供具体补丁链接或版本号。建议立即联系厂商 **BoldThemes** 或查看 Patchstack 页面获取最新修复版本。

🚧 **临时规避**：若无补丁，建议 **立即停用** 该主题。或限制服务器 PHP 反序列化白名单，禁用危险函数。加强 WAF 规则拦截序列化载荷。

🔥 **优先级**：**紧急**。CVSS 3.1 满分潜力，无需认证即可远程利用。建议 **立即升级** 或 **下线** 受影响实例，防止被自动化脚本攻击。