CVE-2025-7643 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径遍历漏洞 (Path Traversal)。 🔥 **后果**：攻击者可利用文件路径验证不足，**删除任意文件**，导致系统完整性受损。

🔍 **CWE**：CWE-22 (路径遍历)。 🐛 **缺陷点**：**文件路径验证不足**。未对输入的文件路径进行严格过滤，导致非法路径被解析。

📦 **组件**：WordPress Plugin **Attachment Manager**。 🏢 **厂商**：aaroncampbell。 📅 **版本**：**2.1.2 及之前版本**均受影响。

⚔️ **权限**：无需认证 (PR:N)。 💥 **能力**：直接**删除任意文件**。 📉 **影响**：高完整性破坏 (I:H) 和高可用性破坏 (A:H)，但当前数据泄露风险标记为无 (C:N)。

🚪 **门槛**：**极低**。 🔑 **认证**：无需登录 (PR:N)。 🌐 **网络**：网络可访问 (AV:N)。 🧠 **交互**：无需用户交互 (UI:N)。 🎯 **复杂度**：低 (AC:L)。

📜 **PoC**：数据中 `pocs` 字段为空，暂无公开代码。 🌍 **在野**：未提及在野利用。 🔗 **参考**：WordFence 已发布威胁情报分析。

🔎 **自查**：检查 WordPress 站点是否安装 **Attachment Manager** 插件。 📊 **版本**：确认版本是否 **≤ 2.1.2**。 🛠️ **扫描**：使用 WAF 或漏洞扫描器检测路径遍历特征请求。

🛡️ **官方**：插件官网 (wordpress.org/plugins/attachment-manager/) 已列出该漏洞。 💡 **建议**：立即前往官网检查是否有 **2.1.3+** 或更高版本的补丁发布。

🚧 **临时规避**： 1. **卸载**该插件（如果非核心业务必需）。 2. 升级至**最新版本**。 3. 配置 WAF 拦截包含 `../` 等路径遍历特征的请求。

🚨 **优先级**：**高**。 ⚡ **理由**：CVSS 评分高，**无需认证**即可触发，且后果严重（任意文件删除）。建议**立即修复**！