CVE-2025-8723 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:代码注入漏洞(CWE-94)。 🔥 **后果**:攻击者可发起 **远程代码执行 (RCE)**,彻底接管服务器。
Q2根本原因?(CWE/缺陷点)
🔍 **缺陷点**:`hook_rest_pre_dispatch` 方法。 ❌ **原因**:缺少 **身份验证** 和 **输入清理**,导致恶意代码被直接执行。
Q3影响谁?(版本/组件)
📦 **组件**:WordPress 插件 **Cloudflare Image Resizing**。 📉 **版本**:版本 **≤ 1.5.6** 均受影响。
Q4黑客能干啥?(权限/数据)
👑 **权限**:获得 **最高权限**(System/User级别)。 💾 **数据**:可读取、篡改、删除所有网站数据,甚至控制整个服务器。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:**极低**。 🔓 **认证**:**无需登录**(Unauthenticated),任何匿名黑客均可利用。
Q6有现成Exp吗?(PoC/在野利用)
💣 **Exp**:**已有现成 PoC**。 🔗 参考 GitHub 链接:`https://github.com/Nxploited/CVE-2025-8723`,利用难度低。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 WP 后台插件列表。 📏 **特征**:确认插件名为 **Cloudflare Image Resizing**,版本号为 **1.5.6 或更低**。
Q8官方修了吗?(补丁/缓解)
🛡️ **补丁**:官方已发布修复。 🔗 参考 Changeset `3341917`,请升级至 **1.5.7+** 或最新版本。
Q9没补丁咋办?(临时规避)
⚠️ **临时规避**:若无法立即升级,建议 **暂时禁用/卸载** 该插件。 🚫 或配置 WAF 拦截针对 `rest_pre_dispatch` 的异常请求。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急 (Critical)**。 📊 **CVSS**:**9.8** 分。无需认证即可 RCE,建议 **立即修复**!