CVE-2025-60238 — 神龙十问 AI 深度分析摘要

🚨 **本质**：反序列化不可信数据导致 **PHP对象注入**。后果：攻击者可执行任意代码，完全控制服务器。

🔍 **CWE-502**：反序列化漏洞。缺陷点在于插件未对输入数据进行严格校验，直接反序列化恶意构造的数据。

🎯 **受影响**：WordPress 插件 **UNIVERSAM**。版本：**8.72.34 及之前**的所有版本。

💀 **黑客权限**：CVSS 评分极高（H/I/H）。可读取敏感数据、篡改网站内容、甚至获取服务器 **最高控制权**。

⚡ **门槛极低**：CVSS 向量显示 **无需认证** (PR:N)、**无需用户交互** (UI:N)。远程匿名即可利用。

📦 **Exp/PoC**：当前数据中 **暂无** 公开 PoC 或确认的在野利用记录。但风险极高，需警惕。

🔎 **自查方法**：检查 WordPress 后台插件列表，确认是否安装 **UNIVERSAM** 且版本号 **≤ 8.72.34**。

🛡️ **官方修复**：参考 Patchstack 链接，建议立即联系厂商或查看官方更新日志，升级至 **修复版本**。

🚧 **临时规避**：若无补丁，建议 **立即停用** 该插件，或限制服务器 PHP 反序列化权限，阻断外部访问。

🔥 **优先级：紧急**。远程无认证利用 + 高危影响，建议 **立即行动** 修复或隔离，防止被自动化脚本攻击。