CVE-2025-66078 — 神龙十问 AI 深度分析摘要

🚨 **本质**：代码生成控制不当导致 **远程代码包含 (RCE)**。 💥 **后果**：攻击者可执行任意代码，完全接管服务器。

🔍 **CWE-94**：代码注入缺陷。 📍 **缺陷点**：插件在处理输入时未正确净化，导致恶意代码被包含执行。

📦 **组件**：WordPress 插件 **Hotel Booking Lite**。 🏷️ **厂商**：jetmonsters。 📉 **版本**：**5.2.3** 及之前所有版本。

👑 **权限**：最高权限（**Root/Admin**）。 📊 **数据**：可读取/篡改所有网站数据、数据库及服务器文件。 🛡️ **CVSS**：高危 (H/H/H)，影响完整性、机密性和可用性。

🔐 **门槛**：中等。 📝 **要求**：需要 **PR:H** (High Privileges)，即攻击者需具备 **认证权限**（如注册用户或管理员账号）才能触发。

🧪 **Exp**：暂无公开 PoC 或 **在野利用** 报告。 📚 **参考**：仅见 Patchstack 数据库条目，建议谨慎验证。

🔎 **自查**：检查 WordPress 后台插件列表。 🔍 **特征**：查找名称为 **Hotel Booking Lite** 的插件，确认版本号是否 **≤ 5.2.3**。

🛠️ **补丁**：官方已发布修复建议。 🔗 **来源**：Patchstack 漏洞数据库已收录，建议立即升级至最新版本。

⚠️ **临时规避**： 1. **禁用** 该插件。 2. 限制 **认证用户** 访问相关功能。 3. 配置 WAF 拦截包含字符的恶意请求。

🔥 **优先级**：**高**。 💡 **建议**：虽然需要认证，但 RCE 后果极严重。建议 **立即升级** 插件或采取临时缓解措施，不要拖延。