CVE-2025-31918 — 神龙十问 AI 深度分析摘要
CVSS 9.8 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:权限分配不当(Privilege Escalation)。<br>🔥 **后果**:攻击者可提升权限,完全控制站点。
Q2根本原因?(CWE/缺陷点)
🛡️ **CWE-266**:权限问题。<br>⚠️ **缺陷点**:插件未正确校验用户权限,导致越权操作。
Q3影响谁?(版本/组件)
📦 **组件**:Simple Business Directory Pro。<br>🏢 **厂商**:quantumcloud。<br>📅 **版本**:15.4.8 及之前所有版本。
Q4黑客能干啥?(权限/数据)
👑 **权限**:从普通用户提升至管理员。<br>💾 **数据**:高机密性/完整性/可用性损失(CVSS H)。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:极低。<br>🔑 **认证**:无需认证(PR:N)。<br>🌐 **网络**:远程利用(AV:N)。
Q6有现成Exp吗?(PoC/在野利用)
📜 **PoC**:数据中未提供现成代码。<br>🌍 **在野**:暂无公开利用报告。<br>🔗 **参考**:Patchstack 有详细记录。
Q7怎么自查?(特征/扫描)
🔍 **自查**:检查 WP 后台插件列表。<br>📊 **扫描**:识别 Simple Business Directory Pro 版本 ≤ 15.4.8。
Q8官方修了吗?(补丁/缓解)
🛠️ **补丁**:需升级至修复版本(15.4.8 之后)。<br>📢 **状态**:漏洞已公开,建议立即行动。
Q9没补丁咋办?(临时规避)
⏸️ **临时**:若无法升级,考虑禁用该插件。<br>🚫 **限制**:严格限制访问权限,监控异常操作。
Q10急不急?(优先级建议)
🔴 **优先级**:极高(Critical)。<br>📈 **CVSS**:9.8 分。<br>⚡ **建议**:立即修复,风险极大!