CVE-2025-67924 — 神龙十问 AI 深度分析摘要

🚨 **本质**：危险文件上传漏洞。允许攻击者上传恶意文件（如 Web Shell）。后果：服务器被完全控制，数据泄露或网站被篡改。

🔍 **CWE-434**：不受限制的文件上传。缺陷点：未严格校验上传文件的类型，导致危险文件（可执行脚本）得以绕过检查。

🛡️ **受影响**：WordPress 插件 **Corpkit**。版本：**2.0 及之前版本**。厂商：zozothemes。

💀 **黑客能力**：获得 **Web Shell** 权限。可执行任意代码、窃取数据库、篡改页面内容。CVSS 评分极高（H: H: H），影响完整。

⚠️ **门槛**：需 **PR:L**（低权限认证）。意味着攻击者通常需要登录 WordPress 后台或拥有较低级用户权限才能触发。

📦 **Exp/PoC**：数据中 **pocs 为空**。暂无公开现成利用代码或确切的在野利用报告，但漏洞原理清晰。

🔎 **自查**：检查 WordPress 后台插件列表。若已安装 **Corpkit** 且版本 **≤ 2.0**，即存在风险。关注上传接口是否限制文件扩展名。

🩹 **补丁**：参考链接指向 Patchstack 漏洞库。通常建议升级至修复后的最新版本。数据未提供具体修复版本号，需联系厂商确认。

🚧 **临时规避**：1. 立即 **停用/卸载** Corpkit 插件。2. 若必须使用，严格限制上传目录执行权限，禁止 .php/.exe 等可执行文件上传。

🔥 **优先级**：**紧急**。CVSS 向量显示攻击向量网络可达、复杂度低、影响高。一旦获得低权限，极易升级为服务器完全失陷。