CVE-2025-6758 — 神龙十问 AI 深度分析摘要

🚨 **本质**：角色注册限制不足。 💥 **后果**：未授权攻击者可**提升权限至管理员**。 📉 **风险**：CVSS 9.8，极度危险！

🔍 **CWE**：CWE-269（不当权限管理）。 📍 **缺陷点**：`imic_agent_register` 函数。 ⚠️ **核心**：注册时未严格校验角色分配逻辑。

📦 **产品**：Real Spaces - WordPress Properties Directory Theme。 🏢 **厂商**：imithemes。 📅 **版本**：3.6 及之前版本。

👑 **权限**：从“未认证”直接升至“管理员”。 📂 **数据**：完全控制站点，读写任意数据。 🔓 **影响**：C:H/I:H/A:H（机密/完整/可用性全损）。

🚪 **认证**：**无需认证**（Unauthenticated）。 🌐 **网络**：远程利用（AV:N）。 ⚡ **复杂度**：低（AC:L），极易利用。

💻 **PoC**：有现成利用代码。 🔗 **来源**：GitHub (Nxploited/CVE-2025-6758)。 🔥 **状态**：公开可用，攻击门槛极低。

🔎 **特征**：检查 `imic_agent_register` 接口。 📊 **扫描**：检测 WordPress 插件版本是否为 Real Spaces ≤ 3.6。 🛡️ **日志**：监控异常的管理员注册请求。

🛠️ **补丁**：需升级至修复后的版本。 📢 **现状**：数据未提及具体补丁版本，建议联系厂商 imithemes。 🔗 **参考**：WordFence 威胁情报链接。

🚫 **规避**：暂时禁用用户注册功能。 🔒 **限制**：严格限制 `imic_agent_register` 接口访问。 👥 **审核**：手动审核所有新注册角色的分配。

🔥 **优先级**：**P0 紧急**。 ⏱️ **时间**：2025-08-19 发布，需立即行动。 🚀 **建议**：立即升级或实施临时缓解措施，防止被自动化脚本攻击。