CVE-2025-62959 — 神龙十问 AI 深度分析摘要

🚨 **本质**：代码生成控制不当导致**远程代码包含 (RCE)**。 💥 **后果**：攻击者可远程执行恶意代码，彻底接管服务器。

🔍 **CWE**：CWE-94 (代码注入)。 🛠️ **缺陷点**：插件在处理输入时未正确净化或验证，导致恶意代码被生成并执行。

🎯 **组件**：WordPress 插件 **Paid Videochat Turnkey Site**。 📦 **版本**：版本 **7.3.22 及之前** 的所有版本均受影响。

👑 **权限**：获得 **系统级权限** (System Access)。 📂 **数据**：可读取/篡改所有网站数据、数据库及服务器文件，造成 **完全泄露**。

🔐 **门槛**：中等。 📝 **要求**：需要 **高权限认证 (PR:H)**，即攻击者需拥有 WordPress 后台的高权限账号才能触发。

📜 **Exp**：目前 **无公开 PoC** (PoCs: [])。 🌍 **在野**：暂无在野利用报告，但风险极高。

🔎 **自查**：检查 WordPress 后台插件列表。 🔍 **特征**：确认是否安装 **Paid Videochat Turnkey Site** 且版本号 **≤ 7.3.22**。

🛡️ **补丁**：需升级至 **7.3.23 或更高版本**。 🔗 **参考**：Patchstack 已发布详细漏洞说明，建议立即查阅官方更新日志。

⚠️ **规避**：若无法立即升级，请 **禁用该插件**。 🚫 **限制**：严格限制后台访问权限，仅对可信管理员开放。

🔥 **优先级**：**紧急 (Critical)**。 📊 **CVSS**：**9.8** (极高危)。 💡 **建议**：即使需要认证，RCE 后果太严重，建议 **立即行动** 修复。