CVE-2025-7360 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径遍历漏洞 (Path Traversal)。 💥 **后果**：攻击者可读取或篡改服务器上的任意文件，导致**信息泄露**和**服务中断**。

🔍 **CWE**：CWE-22 (路径遍历)。 📍 **缺陷点**：函数 `han` 未对用户输入进行严格校验，允许通过 `../` 等序列跳出预期目录。

📦 **组件**：WordPress 插件 **HT Contact Form Widget For Elementor...**。 🏢 **厂商**：htplugins。 📉 **版本**：**2.2.1 及之前版本**。

🕵️ **权限**：无需认证 (PR:N)。 📂 **数据**：可读取敏感配置文件、源码或日志。 ⚠️ **影响**：完整性 (I:H) 和可用性 (A:H) 受损，可能导致网站被篡改或挂马。

🚪 **门槛**：**极低**。 🔑 **认证**：无需登录 (PR:N)。 🌐 **网络**：远程利用 (AV:N)。 🎯 **复杂度**：低 (AC:L)，无需用户交互 (UI:N)。

📜 **PoC**：数据中未提供现成 Exploit 代码。 🌍 **在野**：暂无公开在野利用报告。 🔗 **参考**：可查阅 Wordfence 威胁情报链接。

🔎 **自查**：检查 WordPress 插件列表。 📋 **特征**：插件名称包含 `HT Contact Form` 或 `ht-contactform`。 📍 **路径**：关注 `admin/Includes/Api/Endpoints/Submission.php` 文件。

🛠️ **补丁**：官方已发布修复版本。 🔗 **链接**：WordPress.org 插件页面及 SVN 变更集 (r3326887) 已修复该问题。 ✅ **建议**：立即升级至最新版本。

🛡️ **临时规避**：若无法立即升级，可尝试**禁用该插件**。 🚫 **限制**：移除插件功能，但能阻断漏洞利用。 🔒 **WAF**：配置 Web 应用防火墙拦截包含 `../` 的异常请求。

🔥 **优先级**：**高**。 ⚡ **理由**：CVSS 评分高，远程无需认证即可利用，直接威胁网站完整性和可用性。 📅 **时间**：2025-07-15 公布，需尽快响应。