CVE-2025-60174 — 神龙十问 AI 深度分析摘要

🚨 **本质**：反序列化不可信数据导致对象注入。 💥 **后果**：攻击者可远程执行代码，完全控制网站。

🔍 **CWE-502**：反序列化不安全数据。 📍 **缺陷点**：插件处理用户输入时未做严格校验，直接反序列化。

🏢 **厂商**：CRM Perks。 📦 **产品**：WP Gravity Forms Constant Contact Plugin。 📉 **版本**：1.1.2 及更早版本。

👑 **权限**：最高权限（Root/Admin）。 📊 **数据**：完全泄露，可篡改、删除数据，植入后门。

📶 **门槛**：极低。 🔑 **认证**：无需认证（PR:N）。 🖱️ **交互**：无需用户交互（UI:N）。

📜 **Exp**：暂无公开 PoC。 🌍 **在野**：数据未显示在野利用，但风险极高。

🔎 **自查**：检查 WordPress 插件列表。 🔍 **特征**：确认是否安装 'WP Gravity Forms Constant Contact Plugin' 且版本 ≤ 1.1.2。

🛡️ **补丁**：需升级至修复版本（参考 Patchstack 链接）。 ⚠️ **注意**：当前数据未提供具体修复版本号，请查阅官方公告。

🚧 **临时规避**：立即禁用并卸载该插件。 🔒 **替代**：使用其他安全的 Constant Contact 集成方案。

🔥 **优先级**：P0（紧急）。 💡 **建议**：CVSS 9.8 分，高危漏洞，建议 **立即** 处置。