CVE-2025-7712 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径遍历漏洞（Path Traversal） 💥 **后果**：攻击者可利用文件路径验证不足，实现**任意文件删除**，进而导致**远程代码执行（RCE）**，服务器彻底沦陷。

🔍 **CWE**：CWE-22（路径遍历） 🛠️ **缺陷点**：对**文件路径验证不足**。未严格过滤用户输入中的 `../` 等序列，导致可访问非预期目录。

🎯 **受影响组件**：WordPress 插件 **Madara - Core** 📦 **版本范围**：**2.2.3 及之前版本**。由 **MangaBooth** 开发。

👮 **权限**：无需认证（PR:N） 📂 **数据/操作**：可**任意删除文件**，并进一步执行**远程代码**。攻击者获得服务器最高控制权，数据泄露风险极高。

🚪 **利用门槛**：**极低** 📊 **CVSS**：AV:N（网络可攻击）、AC:L（低复杂度）、PR:N（无需权限）、UI:N（无需交互）。黑客远程即可直接利用。

📦 **Exp/PoC**：根据提供数据，**暂无公开 PoC**（pocs 列表为空）。 🌍 **在野利用**：数据未提及在野利用情况，但鉴于 CVSS 评分高，需高度警惕。

🔎 **自查方法**： 1. 检查 WordPress 插件列表，确认是否安装 **Madara - Core**。 2. 核对版本号是否 **≤ 2.2.3**。 3. 使用 WAF 或扫描器检测是否存在路径遍历特征（如 `../` 请求）。

🛡️ **官方修复**：数据中**未提供**具体补丁链接或修复版本信息。 📝 **建议**：参考 Wordfence 报告链接，联系厂商 **MangaBooth** 获取最新安全更新。

⚠️ **临时规避**： 1. **立即禁用/卸载**该插件。 2. 若必须使用，配置 WAF 拦截包含 `../` 或敏感文件路径的请求。 3. 限制 Web 服务器用户对关键目录的**写入/删除权限**。

🔥 **优先级**：**紧急** 📈 **CVSS 评分**：高危（I:H, A:H）。虽无 PoC，但漏洞本质严重（RCE），且无需认证。建议**立即**排查并升级或隔离。