CVE-2025-7384 — 神龙十问 AI 深度分析摘要

🚨 **本质**：反序列化漏洞。`get_lead_detail` 函数直接反序列化不可信输入。💥 **后果**：攻击者可执行任意 **PHP 代码**，彻底接管服务器。

🔍 **CWE**：CWE-502 (反序列化不受信任的数据)。📍 **缺陷点**：插件未对输入数据进行校验，直接调用 PHP 反序列化函数，导致恶意载荷执行。

📦 **厂商**：crmperks。🧩 **产品**：Database for Contact Form 7, WPforms, Elementor forms。⚠️ **版本**：**1.4.3 及之前版本**均受影响。

👑 **权限**：远程代码执行 (RCE)。📂 **数据**：可读取/篡改数据库、窃取用户信息。🌐 **影响**：CVSS 评分极高 (H/H/H)，完全破坏性。

🚪 **门槛**：极低。🔑 **认证**：无需认证 (PR:N)。🖱️ **交互**：无需用户交互 (UI:N)。🌍 **网络**：网络可攻击 (AV:N)。🎯 **难度**：低 (AC:L)。

📜 **PoC**：数据中 `pocs` 为空，暂无公开利用代码。🔥 **在野**：未提及在野利用，但鉴于无需认证，**高危**，需警惕。

🔎 **自查**：检查 WordPress 插件列表。🔍 **特征**：查找名为 `Database for Contact Form 7` 或相关 WPforms/Elementor 插件。📉 **版本**：确认版本号是否 ≤ 1.4.3。

🛠️ **补丁**：参考链接指向 WordPress Trac 的更改集 (changeset 3338764)，暗示**已有修复**。📢 **建议**：立即升级至最新版本以应用修复。

🛡️ **规避**：若无补丁，暂时**禁用**该插件。🚫 **限制**：限制插件目录写入权限。🔒 **WAF**：配置 WAF 拦截可疑的反序列化载荷或 PHP 执行请求。

🔥 **优先级**：**紧急 (Critical)**。📉 **风险**：CVSS 满分潜力，无需认证即可 RCE。⚡ **行动**：立即更新插件或下线服务，防止被自动化脚本扫描利用。