CVE-2025-12539 — 神龙十问 AI 深度分析摘要

🚨 **本质**：敏感信息泄露 + 远程代码执行风险。 🛡️ **后果**：攻击者可窃取 **cPanel API 凭据**，进而接管服务器账户，导致 **RCE（远程代码执行）**。

🔍 **CWE-922**：存储保护不足。 💡 **缺陷点**：插件将 **cPanel API 密钥/主机名/用户名** 以不安全方式存储在 **Web 可访问** 的位置，未做加密或权限隔离。

📦 **组件**：WordPress 插件 **TNC Toolbox: Web Performance**。 🏢 **厂商**：leopardhost。 📅 **版本**：**1.4.2 及之前** 所有版本均受影响。

👮 **权限**：无需认证（Unauthenticated）。 💾 **数据**：直接读取 **cPanel API 凭据**。 💥 **行动**：利用凭据进行 **权限提升**，实现 **cPanel 账户接管** 和 **远程代码执行**。

🚪 **门槛极低**。 🔓 **认证**：**无需登录**（Unauthenticated）。 ⚙️ **配置**：只要插件安装且版本 <= 1.4.2，攻击者即可直接访问泄露文件。

💻 **有 PoC**。 🔗 **链接**：GitHub 上已有公开利用代码（Nxploited/CVE-2025-12539）。 🌍 **在野**：数据未明确提及，但 PoC 公开意味着利用门槛已消失。

🔎 **自查方法**： 1. 检查 WordPress 插件列表，确认是否安装 **TNC Toolbox: Web Performance**。 2. 确认版本是否 **<= 1.4.2**。 3. 扫描 Web 目录，查找是否存在包含 **cPanel API Key** 的可公开访问文件。

🛠️ **官方修复**： 🔗 **提交记录**：GitHub 上已有修复提交（commit 31bb304...）。 ✅ **建议**：立即升级至 **1.4.3 或更高版本**（假设修复已发布在后续版本中，需检查官方更新日志）。

🚫 **临时规避**： 1. **立即禁用/卸载** 该插件。 2. 若必须使用，确保存储凭据的文件 **不在 Web 根目录** 或设置 **严格权限**（如 600）。 3. **轮换** 已泄露的 cPanel API 密钥。

🔥 **优先级：极高 (Critical)**。 ⚠️ **理由**：CVSS 评分高（C:H/I:H/A:H），**无需认证**，直接导致 **服务器接管**。 🚀 **行动**：**立即修补**，不要等待。