CVE-2025-39601 — 神龙十问 AI 深度分析摘要

更新日 2026-05-06CVSS 9.6 · Critical

本页是神龙十问 AI 深度分析的摘要版。完整版（更长回答、追问、相关漏洞）需登录查看 →

Q1这个漏洞是什么？（本质+后果）

🚨 **本质**：跨站请求伪造 (CSRF)。 💥 **后果**：攻击者可注入恶意 PHP 代码，导致 **远程代码执行 (RCE)**。

🔍 **CWE**：CWE-352。 🛑 **缺陷**：插件未验证 **CSRF 令牌**，允许未经授权的 POST 请求修改设置。

📦 **厂商**：WPFactory。 📌 **产品**：Custom CSS, JS & PHP。 ⚠️ **版本**：**2.4.1 及之前**所有版本。

🔓 **权限**：远程攻击者。 💾 **数据**：完全控制服务器，执行任意代码，窃取数据或植入后门。

🚪 **门槛**：**低**。 👤 **认证**：无需认证 (PR:N)。 🖱️ **交互**：需用户点击链接 (UI:R)，但利用简单。

💻 **PoC**：有。 🔗 **链接**：GitHub (Nxploited/CVE-2025-39601)。 🌍 **在野**：数据未提及，但 PoC 已公开。

🔎 **自查**：检查 WordPress 后台插件列表。 📋 **特征**：名称包含 "Custom CSS, JS & PHP"，版本 ≤ 2.4.1。

🛡️ **补丁**：数据未提供具体补丁版本。 ✅ **建议**：立即联系厂商或查看 Patchstack 获取最新修复版。

⚠️ **临时规避**： 1. **禁用/卸载**该插件。 2. 限制后台访问权限。 3. 实施 WAF 规则过滤异常 POST 请求。

🔥 **优先级**：**极高 (CRITICAL)**。 📈 **CVSS**：**9.6**。 🚀 **行动**：立即修复，防止服务器被完全接管。