CVE-2025-67997 — 神龙十问 AI 深度分析摘要

🚨 **本质**：反序列化不可信数据导致对象注入。 💥 **后果**：攻击者可远程执行任意代码，完全控制站点。

🔍 **CWE**：CWE-502 (反序列化不可信数据)。 📍 **缺陷**：插件未对输入数据进行安全校验直接反序列化。

📦 **组件**：WordPress 插件 **Travelicious**。 🏷️ **厂商**：BoldThemes。 📉 **版本**：**1.6.7 之前**的所有版本。

👑 **权限**：最高权限（Root/Admin）。 📊 **数据**：可读取、修改、删除所有数据库内容，植入后门。

🚪 **门槛**：**极低**。 🔑 **认证**：无需登录（PR:N）。 🌐 **网络**：网络可达即可（AV:N）。

🧪 **Exp**：数据中 **pocs** 字段为空，暂无公开 PoC。 🌍 **在野**：暂无在野利用报告。

🔎 **自查**：检查 WordPress 插件列表。 ✅ **特征**：发现名为 **Travelicious** 的插件，且版本号 **< 1.6.7**。

🛠️ **补丁**：参考链接指向 Patchstack 漏洞库。 📢 **状态**：建议升级至 **1.6.7 或更高版本**修复。

🛡️ **规避**：立即 **停用** 该插件。 🔒 **隔离**：若无替代方案，暂时移除插件文件，防止触发反序列化。

🔥 **优先级**：**紧急 (Critical)**。 ⚠️ **CVSS**：9.8 分（极高危）。 🏃 **行动**：立即修复，无需等待 PoC 公开。