CVE-2025-69370 — 神龙十问 AI 深度分析摘要

🚨 **本质**：反序列化不可信数据导致 **PHP对象注入**。后果：攻击者可执行任意代码，完全控制站点。

🔍 **CWE-502**：反序列化漏洞。缺陷点在于处理用户输入时未做严格校验，直接反序列化导致恶意对象注入。

🛡️ **受影响**：WordPress 插件 **Capella**。版本：**2.5.5 及之前版本**。厂商：ThemeGoods。

💀 **黑客能力**：远程代码执行 (RCE)。可窃取数据库、篡改页面、植入后门，拥有 **高 (H)** 机密/完整性/可用性影响。

⚡ **门槛极低**：CVSS 显示无需认证 (PR:N)、无需用户交互 (UI:N)、攻击向量网络 (AV:N)。直接远程利用。

📭 **暂无公开 Exp**：数据中 `pocs` 为空，无已知在野利用报告。但漏洞原理成熟，PoC 极易编写。

🔎 **自查方法**：扫描 WordPress 插件列表，确认是否安装 **Capella** 且版本 **≤ 2.5.5**。检查代码中是否存在危险的反序列化函数。

🛠️ **官方修复**：需升级至 **2.5.6 或更高版本**。参考 Patchstack 链接获取最新补丁信息。

🚧 **临时规避**：若无补丁，立即 **停用/卸载** 该插件。或配置 WAF 拦截包含序列化特征的攻击载荷。

🔥 **优先级：极高**。CVSS 评分满分附近，远程无需认证即可利用。建议 **立即升级** 或下线插件。