CVE-2026-25447 — 神龙十问 AI 深度分析摘要
CVSS 9.1 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:代码注入漏洞。 💥 **后果**:攻击者可执行任意代码,完全控制目标系统。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-94(代码注入)。 🐛 **缺陷**:代码生成控制不当,未正确净化输入。
Q3影响谁?(版本/组件)
📦 **产品**:WordPress Plugin Widget Wrangler。 👤 **厂商**:Jonathan Daggerhart。 📅 **版本**:2.3.9 及之前所有版本。
Q4黑客能干啥?(权限/数据)
🔓 **权限**:获得服务器最高权限(RCE)。 📊 **数据**:可读取、修改、删除所有数据,甚至横向移动。
Q5利用门槛高吗?(认证/配置)
🔑 **门槛**:需 **High Privileges**(高权限)。 🌐 **网络**:网络可达(AV:N)。 👀 **交互**:无需用户交互(UI:N)。
Q6有现成Exp吗?(PoC/在野利用)
🧪 **PoC**:数据中未提供现成 Exploit。 🌍 **在野**:暂无公开在野利用报告。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 WP 后台插件列表。 📋 **特征**:确认是否安装 **Widget Wrangler** 且版本 **≤ 2.3.9**。
Q8官方修了吗?(补丁/缓解)
🛡️ **补丁**:需升级至 **2.3.9 之后** 的安全版本。 🔗 **参考**:Patchstack 有详细漏洞描述。
Q9没补丁咋办?(临时规避)
⚠️ **临时**:立即 **停用** 该插件。 🚫 **隔离**:若无替代方案,限制后台访问权限。
Q10急不急?(优先级建议)
🔥 **优先级**:**极高**。 💡 **建议**:CVSS 满分风险,S:C/C:H/I:H/A:H,建议 **立即修复**!