CVE-2025-47532 — 神龙十问 AI 深度分析摘要

🚨 **本质**：反序列化不可信数据导致 **PHP对象注入**。后果：攻击者可执行任意代码，完全控制服务器。

🛡️ **CWE-502**：反序列化漏洞。缺陷点：插件未对输入数据进行严格校验，直接反序列化恶意构造的数据。

📦 **受影响**：CoinPayments.net Payment Gateway for WooCommerce。版本：**1.0.17 及之前版本**。

💀 **黑客能力**：CVSS 满分风险！可获取 **高机密性/完整性/可用性** 破坏。等同于 **RCE（远程代码执行）**，拿服务器权限。

🔓 **门槛极低**：AV:N（网络攻击）、AC:L（低复杂度）、PR:N（无需权限）、UI:N（无需用户交互）。**零门槛**，远程即可利用。

📄 **现状**：数据中 **pocs 为空**，暂无公开 PoC 或明确在野利用报告。但风险极高，需警惕。

🔍 **自查**：检查 WordPress 后台插件列表，确认是否安装 **CoinPayments.net Payment Gateway for WooCommerce** 且版本 **≤ 1.0.17**。

🔧 **修复**：官方已发布补丁。请升级至 **1.0.18 或更高版本** 以修复此对象注入漏洞。

⚠️ **临时规避**：若无法立即升级，建议 **暂时禁用该插件**，或配置 WAF 拦截包含 PHP 序列化特征的恶意请求。

🔥 **优先级：紧急**！CVSS 向量显示危害极大且无需认证。建议 **立即升级** 或下线插件，防止被自动化扫描攻击。