CVE-2025-5392 — 神龙十问 AI 深度分析摘要

🚨 **本质**：代码注入 (Code Injection)。 💥 **后果**：攻击者可执行任意代码，直接导致 **远程代码执行 (RCE)**，服务器彻底沦陷。

🔍 **CWE**：CWE-94 (代码注入)。 📍 **缺陷点**：`gbfdb_talk_to_front` 函数未过滤用户输入，直接通过 `call_user_func` 执行，形成 **动态函数调用漏洞**。

🎯 **受影响**：WordPress 插件 **GB Forms DB**。 📦 **版本**：v1.0.2 及 **更早版本**。

👑 **黑客权限**：拥有 **最高权限** (CVSS A:H)。 📂 **数据风险**：可完全控制服务器，窃取/篡改所有数据 (C:H, I:H)，无需任何认证。

🚪 **门槛**：**极低**。 📝 **条件**：网络访问 (AV:N)、低复杂度 (AC:L)、无需认证 (PR:N)、无需用户交互 (UI:N)。即插即用！

📜 **Exp/PoC**：数据中 **暂无** 公开 PoC 或已知在野利用。 ⚠️ **注意**：鉴于 CVSS 满分风险，**高危漏洞** 极易被自动化脚本扫描利用。

🔎 **自查**：检查 WordPress 插件列表。 🔍 **特征**：确认是否安装 **GB Forms DB** 且版本 **≤ 1.0.2**。扫描代码中是否存在 `call_user_func` 结合用户输入的危险模式。

🛡️ **官方修复**：参考链接指向 Trac 仓库的变更集 (Changeset)。 ✅ **建议**：立即联系插件作者 **gb-plugins** 获取 **v1.0.3+** 或最新安全补丁。

🚧 **临时规避**： 1. **立即停用/卸载** 该插件。 2. 若必须使用，配置 WAF 拦截包含 `call_user_func` 或特定参数的恶意请求。 3. 限制插件目录执行权限。

🔥 **优先级**：**紧急 (Critical)**。 💡 **建议**：CVSS 3.1 满分 10 分。无需认证即可 RCE，建议 **24小时内** 完成修复或隔离。