CVE-2025-30985 — 神龙十问 AI 深度分析摘要

🚨 **本质**：反序列化不可信数据导致对象注入。 💥 **后果**：攻击者可远程执行任意代码，完全控制服务器。

🔍 **CWE**：CWE-502 (反序列化不可信数据)。 📍 **缺陷**：代码未对输入数据进行严格校验，直接反序列化。

🎯 **组件**：WordPress 插件 GNUCommerce。 📦 **版本**：1.5.4 及之前所有版本。

🕵️ **权限**：无需认证，直接远程利用。 📂 **数据**：可读取、修改、删除数据，甚至接管整个网站。

📉 **门槛**：极低。 ⚙️ **配置**：CVSS 显示无需认证 (PR:N)，无需用户交互 (UI:N)，攻击复杂度低 (AC:L)。

🧪 **Exp**：数据中未提供现成 PoC。 🌍 **在野**：暂无公开在野利用报告，但风险极高。

🔎 **自查**：检查 WordPress 插件列表。 🔍 **特征**：确认是否安装 **GNUCommerce** 且版本 **≤ 1.5.4**。

🛡️ **补丁**：官方已发布修复说明。 📝 **建议**：立即升级至修复后的最新版本。

🚧 **临时规避**：若无法升级，建议暂时 **禁用** 该插件。 🔒 **隔离**：限制插件目录的写入权限，防止恶意文件上传。

🔥 **优先级**：**紧急 (Critical)**。 ⚡ **建议**：CVSS 评分满分附近，建议 **立即修复**，避免被自动化扫描器利用。