CVE-2026-4001 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:输入验证缺失导致远程代码执行 (RCE)。 💥 **后果**:攻击者可完全控制受影响的 WordPress 站点,导致数据泄露或服务中断。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE-95**:代码注入缺陷。 📍 **缺陷点**:用户提交的字段值**清理和验证不足**,未过滤恶意输入。
Q3影响谁?(版本/组件)
📦 **组件**:WooCommerce 插件。 🏷️ **名称**:Woocommerce Custom Product Addons Pro。 👤 **厂商**:acowebs。
Q4黑客能干啥?(权限/数据)
🛡️ **权限**:远程代码执行 (RCE)。 📊 **数据**:高机密性 (C:H)、高完整性 (I:H)、高可用性 (A:H) 影响。 👉 **能力**:可执行任意系统命令,接管服务器。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:极低。 🔑 **认证**:无需认证 (PR:N)。 🌐 **网络**:网络远程 (AV:N)。 👀 **交互**:无需用户交互 (UI:N)。 📉 **复杂度**:低 (AC:L)。
Q6有现成Exp吗?(PoC/在野利用)
📜 **PoC**:漏洞数据中 **pocs 为空**,暂无公开利用代码。 🌍 **在野**:数据未提及在野利用情况。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 WordPress 是否安装 **Woocommerce Custom Product Addons Pro**。 📋 **版本**:确认版本是否为 **5.4.1 及之前版本**。
Q8官方修了吗?(补丁/缓解)
🛠️ **补丁**:数据未提供具体补丁链接或版本号。 🔗 **参考**:建议访问厂商官网 (acowebs.com) 或 Wordfence 威胁情报页面获取更新。
Q9没补丁咋办?(临时规避)
⚠️ **临时规避**: 1. **停用**该插件。 2. 若必须使用,实施严格的**输入过滤**和**WAF 规则**。 3. 限制插件相关端点的访问权限。
Q10急不急?(优先级建议)
🔥 **优先级**:**极高**。 📈 **CVSS**:9.8 (Critical)。 🚀 **建议**:立即升级至修复版本或采取缓解措施,RCE 漏洞风险极大。