CVE-2025-49060 — 神龙十问 AI 深度分析摘要

🚨 **本质**：任意文件上传漏洞。 💥 **后果**：攻击者可上传 **Web Shell**，直接控制服务器。

🔍 **CWE-434**：允许上传危险类型文件。 ⚠️ **缺陷点**：缺乏对上传文件类型的严格校验。

📦 **产品**：WordPress 插件 Wastia Theme。 🏷️ **厂商**：CMSSuperHeroes。 📉 **版本**：**1.1.3 之前**的所有版本。

👑 **权限**：获得服务器 **Web Shell** 权限。 📂 **数据**：完全读取/篡改网站数据，甚至控制后端。

📶 **CVSS**：AV:N/AC:L/PR:N/UI:N。 🚪 **门槛**：**极低**！无需认证，无需用户交互，远程即可利用。

📜 **PoC**：数据中未提供现成 Exploit。 🌍 **在野**：暂无公开在野利用报告。

🔎 **自查**：检查 WP 后台插件列表。 🔍 **特征**：确认是否安装 **Wastia Theme** 且版本 **< 1.1.3**。

🛡️ **补丁**：升级至 **1.1.3 或更高版本**。 🔗 **参考**：Patchstack 官方漏洞页面。

🚫 **临时规避**：禁用该插件。 🛑 **限制**：严格限制上传目录执行权限，禁止 .php 文件上传。

🔥 **优先级**：**紧急**。 ⚡ **理由**：CVSS 满分风险（C:H/I:H/A:H），利用简单，危害极大。