CVE-2025-7634 — 神龙十问 AI 深度分析摘要

🚨 **本质**：本地文件包含 (LFI) 漏洞。 🔥 **后果**：攻击者可读取服务器敏感文件，甚至执行任意代码，导致网站完全沦陷。

🛠️ **CWE**：CWE-98 (Improper Control of Filename for Include/Require)。 📍 **缺陷点**：`mode` 参数未经验证直接传入，导致路径遍历风险。

📦 **产品**：WP Travel Engine – Tour Booking Plugin。 📉 **版本**：6.6.7 及之前所有版本均受影响。

👁️ **数据**：高机密性泄露 (C:H)，可读取源码、配置文件。 💥 **执行**：高完整性/可用性破坏 (I:H/A:H)，可执行恶意代码，篡改网站。

🔓 **门槛**：极低。 🌐 **条件**：网络访问 (AV:N)、低复杂度 (AC:L)、无需认证 (PR:N)、无需用户交互 (UI:N)。

📜 **PoC**：数据中未提供现成 Exploit。 🌍 **在野**：暂无公开在野利用报告，但 CVSS 评分极高，风险极大。

🔍 **自查**：检查插件版本是否 ≤ 6.6.7。 📂 **代码**：审查 `LoadTripsHtml.php` 和 `FilterTripsHtml.php` 中的 `mode` 参数处理逻辑。

🛡️ **补丁**：官方已发布修复建议。 🔄 **行动**：立即升级至最新版本以修复 LFI 漏洞。

⚠️ **临时规避**：若无法升级，需严格过滤/验证 `mode` 参数。 🚫 **建议**：限制文件包含范围，禁用危险函数，或暂时禁用该插件功能。

🔥 **优先级**：紧急 (CVSS 9.8 高危)。 🏃 **建议**：立即修复！无需认证即可利用，对网站安全威胁极大。