CVE-2025-7721 — 神龙十问 AI 深度分析摘要

🚨 **本质**：本地文件包含 (LFI) 漏洞。 📉 **后果**：攻击者可读取服务器敏感文件，甚至通过包含恶意文件 **执行任意 PHP 代码**，直接接管网站。

🔍 **CWE**：CWE-98 (Improper Control of Filename for Include/Require)。 📍 **缺陷点**：`task` 参数未经验证直接传入文件包含逻辑，缺乏对路径和文件类型的严格过滤。

🎯 **受影响组件**：WordPress 插件 **JoomSport**。 📦 **版本范围**：**5.7.3 及之前版本**。 🏢 **厂商**：beardev。

💀 **黑客权限**： - **完全控制**：执行任意 PHP 代码 = 服务器级权限。 - **数据泄露**：读取本地配置文件、数据库凭证等敏感信息。 - **持久化**：植入 Webshell，长期潜伏。

⚡ **利用门槛**：**极低**。 - **无需认证**：PR:N (Privileges Required: None)。 - **无需交互**：UI:N (User Interaction: None)。 - **网络可达**：AV:N (Attack Vector: Network)。 只要插件安装且未修复，远程即可利用。

📜 **Exp/PoC**：当前数据中 **pocs 为空**。 🌍 **在野利用**：暂无明确在野利用报告，但鉴于 CVSS 分数极高，风险极大。 🔗 **参考**：WordFence 已发布威胁情报分析。

🔎 **自查方法**： 1. 检查 WP 后台插件列表，确认是否安装 **JoomSport**。 2. 确认版本是否 **≤ 5.7.3**。 3. 扫描器检测 `task` 参数是否存在文件包含特征。 4. 查看代码 `class-jsport-controller.php` 第 74 行附近逻辑。

🛡️ **官方修复**： - 参考链接显示有 **Changeset 3371353**，暗示已发布修复补丁。 - 建议立即升级至 **最新版本**（> 5.7.3）。 - 官方 Trac 已记录修复细节。

🚧 **临时规避**： 1. **立即停用**该插件，直到升级完成。 2. 若必须使用，配置 **WAF** 拦截包含 `task` 参数的异常请求。 3. 限制服务器目录权限，禁止 PHP 执行包含目录下的脚本。

🔥 **优先级**：**紧急 (Critical)**。 - **CVSS 3.1** 满分附近，危害极高。 - **无需认证**，极易被自动化脚本扫描利用。 - **行动**：立即升级插件或下线服务，切勿拖延！