CVE-2026-32525 — 神龙十问 AI 深度分析摘要

🚨 **本质**：JetFormBuilder 插件代码生成控制不当，导致 **代码注入**。 💥 **后果**：攻击者可执行任意代码，彻底接管服务器。

🔍 **CWE-94**：代码注入漏洞。 📍 **缺陷点**：插件在处理表单数据时，未对生成的代码进行严格 sanitization（净化），导致恶意代码混入执行。

📦 **组件**：WordPress 插件 JetFormBuilder。 🏢 **厂商**：jetmonsters。 📅 **版本**：**3.5.6.1 及之前版本**均受影响。

👑 **权限**：获得 **高权限**（CVSS A:H, I:H, C:H）。 📊 **数据**：可完全控制服务器，窃取数据、植入后门，甚至横向移动。

🔑 **门槛**：**中等**。 📝 **条件**：需要 **低权限认证** (PR:L)，即攻击者需拥有 WordPress 的低级账户（如订阅者/作者），无需 UI 交互 (UI:N)。

🕵️ **现状**：数据中 **无现成 PoC** (pocs: [])。 🌍 **在野**：未提及在野利用，但漏洞严重度高，风险极大。

🔎 **自查**：检查 WordPress 后台插件列表。 📏 **特征**：确认 JetFormBuilder 版本是否 **≤ 3.5.6.1**。

🛡️ **修复**：参考链接指向 Patchstack 的修复建议。 💡 **行动**：立即升级至 **最新版本** 以修复此 RCE 漏洞。

🚧 **临时规避**： 1. **禁用** JetFormBuilder 插件。 2. 限制 WordPress 用户权限，防止低权限用户访问表单构建功能。 3. 配置 WAF 拦截代码注入特征。

🔥 **优先级**：**紧急 (Critical)**。 ⚠️ **理由**：CVSS 向量显示 **AV:N** (网络可攻击) 且 **C/I/A 均为高**，属于远程代码执行 (RCE)，必须立即处理。