CVE-2025-6065 — 神龙十问 AI 深度分析摘要
CVSS 9.1 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:路径遍历漏洞(Path Traversal)。 💥 **后果**:因文件路径验证不足,导致**任意文件删除**风险。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-22(路径遍历)。 🐛 **缺陷**:对输入的文件路径缺乏严格校验,攻击者可构造恶意路径。
Q3影响谁?(版本/组件)
🎯 **组件**:WordPress 插件 **Image Resizer On The Fly**。 📦 **版本**:**1.1 及之前版本**均受影响。
Q4黑客能干啥?(权限/数据)
🔓 **权限**:无需认证(PR:N)。 🗑️ **数据**:主要影响**完整性**和**可用性**(I:H, A:H),可删除关键文件。
Q5利用门槛高吗?(认证/配置)
📉 **门槛**:**极低**。 ⚙️ **配置**:网络访问(AV:N)、低复杂度(AC:L)、无需用户交互(UI:N)。
Q6有现成Exp吗?(PoC/在野利用)
📜 **Exp**:数据中 **PoCs 为空**。 🌍 **在野**:暂无明确在野利用报告,但风险极高。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 WP 后台插件列表。 👀 **特征**:确认是否安装 **Image Resizer On The Fly** 且版本 **≤ 1.1**。
Q8官方修了吗?(补丁/缓解)
🛡️ **补丁**:数据未提供具体补丁链接。 ✅ **建议**:参考官方链接 [wordpress.org](https://wordpress.org/plugins/image-resizer-on-the-fly/) 获取最新修复版。
Q9没补丁咋办?(临时规避)
🚧 **规避**:若无法升级,建议**立即禁用/卸载**该插件。 🔒 **限制**:限制插件目录的写入权限,防止恶意文件操作。
Q10急不急?(优先级建议)
⚡ **优先级**:**紧急**。 📈 **CVSS**:高分(H/I:H, A:H),无认证即可利用,建议**立即处置**。