CVE-2025-69052 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:缺少授权检查(Broken Access Control)。<br>📉 **后果**:攻击者可绕过安全限制,导致**机密性、完整性、可用性**全面受损。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE-862**:缺失授权。<br>⚠️ **缺陷点**:访问控制配置不当,未验证用户权限即可执行敏感操作。
Q3影响谁?(版本/组件)
🎯 **厂商**:FmeAddons。<br>📦 **产品**:Registration & Login with Mobile Phone Number for WooCommerce。<br>📅 **版本**:**1.3.1** 及之前所有版本。
Q4黑客能干啥?(权限/数据)
🕵️ **权限**:无需认证即可利用。<br>💾 **数据**:可获取高敏感数据(C:H),并可篡改数据(I:H)或破坏服务(A:H)。
Q5利用门槛高吗?(认证/配置)
📉 **门槛极低**。<br>✅ **无需认证**(PR:N)。<br>✅ **无需交互**(UI:N)。<br>✅ **攻击距离近**(AV:N)。
Q6有现成Exp吗?(PoC/在野利用)
🚫 **无现成Exp**。<br>📝 **PoC**:数据中未提供(pocs为空)。<br>🌍 **在野利用**:暂无明确证据。
Q7怎么自查?(特征/扫描)
🔍 **自查特征**:<br>1. 检查是否安装 **FmeAddons** 插件。<br>2. 确认版本是否 **≤ 1.3.1**。<br>3. 扫描接口是否存在**未授权访问**风险。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复**:建议升级至**修复版本**(通常高于1.3.1)。<br>📌 **参考**:Patchstack 已收录该漏洞详情。
Q9没补丁咋办?(临时规避)
⚠️ **临时规避**:<br>1. **立即停用**该插件。<br>2. 若必须使用,限制插件API接口的**访问权限**。<br>3. 加强WAF规则,拦截异常请求。
Q10急不急?(优先级建议)
🔥 **优先级:极高**。<br>💡 **CVSS 9.8**(Critical)。<br>🚀 **建议**:立即修补!无需认证即可利用,危害极大。