CVE-2025-67968 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WordPress插件 **Real Homes CRM** 存在 **危险类型文件上传不受限制** 的代码问题。\n💥 **后果**：攻击者可上传 **恶意文件**，导致服务器被 **完全控制**（CVSS评分极高）。

🔍 **CWE ID**：**CWE-434**（不受限制的文件上传）。\n🐛 **缺陷点**：插件未对上传文件的 **类型** 和 **内容** 进行有效校验，允许执行脚本。

🎯 **受影响组件**：**Real Homes CRM** 插件。\n📦 **版本范围**：**1.0.0 及之前版本**。\n🏢 **厂商**：**InspiryThemes**。

👑 **权限**：攻击者可获得 **服务器级权限**（S:C, C:H, I:H, A:H）。\n📂 **数据**：可读取、修改、删除所有网站数据，甚至植入 **Webshell**。

🔑 **认证要求**：**PR:L**（需要低权限认证）。\n🌐 **网络**：**AV:N**（网络远程利用）。\n👤 **用户交互**：**UI:N**（无需用户交互）。\n⚖️ **门槛**：中等（需登录后台或特定权限，但利用简单）。

📜 **PoC**：数据中 **pocs** 字段为空，暂无公开现成代码。\n🌍 **在野利用**：未知（references 仅指向 Patchstack 数据库条目）。

🔎 **自查方法**：\n1. 检查 WordPress 后台插件列表。\n2. 确认是否安装 **Real Homes CRM**。\n3. 检查版本是否为 **1.0.0 或更低**。\n4. 扫描上传目录是否有可疑 **.php/.exe** 文件。

🛡️ **补丁状态**：描述中未提及具体补丁版本。\n💡 **建议**：立即联系厂商 **InspiryThemes** 或查看 Patchstack 链接获取 **最新版本**。

⚠️ **临时规避**：\n1. **禁用** 该插件。\n2. 限制上传目录 **执行权限**（如禁止 .php 执行）。\n3. 加强 **WAF** 规则，拦截异常文件上传请求。

🔥 **优先级**：**紧急**（Critical）。\n📈 **理由**：CVSS 向量显示 **完整性、可用性、机密性** 均受高影响（H），且攻击向量简单。建议 **立即升级或停用**。