CVE-2025-68860 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:身份验证绕过(Broken Authentication)。黑客可通过**替代路径或通道**绕过登录检查。后果:未授权访问,系统完全失控。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE-288**:身份验证绕过。缺陷点在于插件未对非标准访问路径进行严格的权限校验,导致安全机制失效。
Q3影响谁?(版本/组件)
🎯 **受影响**:WordPress 插件 **Mobile builder**。版本:**1.4.2 及之前版本**。
Q4黑客能干啥?(权限/数据)
💀 **黑客能力**:CVSS 评分极高(H/I/A:H)。可获取**高敏感数据**,篡改内容,甚至完全控制网站后台。
Q5利用门槛高吗?(认证/配置)
⚡ **门槛极低**:CVSS 显示 **PR:N**(无需权限)、**AC:L**(攻击简单)。无需认证即可直接利用。
Q6有现成Exp吗?(PoC/在野利用)
📦 **有 PoC**:GitHub 上已有公开利用代码(Nxploited/CVE-2025-68860)。在野利用风险高。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 WP 后台插件列表,确认是否安装 **Mobile builder**。版本若 ≤ 1.4.2,立即标记高危。
Q8官方修了吗?(补丁/缓解)
🛡️ **修复建议**:官方未提供直接补丁链接,但需立即升级至**最新版本**(>1.4.2)或联系厂商 Mobile Builder 获取修复。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**:若无补丁,建议**暂时禁用/卸载**该插件。或通过 WAF 拦截对插件特定 API 路径的未授权访问。
Q10急不急?(优先级建议)
🔥 **优先级:紧急**。无需认证即可利用,危害极大。建议 **24小时内** 完成加固或隔离。