CVE-2025-9762 — 神龙十问 AI 深度分析摘要

🚨 **本质**：操作系统命令注入 (OS Command Injection)。 💥 **后果**：攻击者可利用 `save_attachments` 函数缺陷，实现**任意文件上传**并导致**远程代码执行 (RCE)**，服务器彻底沦陷。

🔍 **CWE**：CWE-78 (OS Command Injection)。 🐛 **缺陷点**：`save_attachments` 函数**缺少文件类型验证**。未对上传文件进行严格过滤，导致恶意载荷被当作命令执行。

🎯 **组件**：WordPress Plugin **Post By Email**。 📦 **版本**：版本 **1.0.4b** 及之前所有版本。 🏢 **厂商**：westi。

🕵️ **黑客权限**：拥有**完全控制权**。 📂 **数据风险**：可读取/篡改服务器任意文件，植入后门，控制整个 WordPress 站点及底层操作系统。

⚡ **利用门槛**：**极低**。 🔓 **认证**：无需认证 (PR:N)。 🌐 **网络**：远程利用 (AV:N)。 🎭 **交互**：无需用户交互 (UI:N)。CVSS 评分极高，属于高危漏洞。

📜 **PoC/Exp**：当前数据中 **无** 公开 PoC 或 Pocs 列表。 🌍 **在野利用**：暂无明确在野利用报告，但鉴于无需认证且危害极大，风险极高。

🔎 **自查方法**： 1. 检查 WordPress 插件列表，确认是否安装 **Post By Email**。 2. 确认版本是否为 **1.0.4b** 或更低。 3. 审计代码中 `save_attachments` 函数是否缺乏文件类型白名单校验。

🛡️ **官方修复**：数据未提供具体补丁链接或新版本号。 ⚠️ **建议**：立即联系厂商 **westi** 或查看 WordPress 官方插件库获取最新安全版本。

🚧 **临时规避**： 1. **立即停用**并卸载该插件。 2. 若必须使用，限制插件目录执行权限，禁止 PHP 执行。 3. 加强 WAF 规则，拦截包含 shell 命令字符的上传请求。

🔥 **优先级**：**紧急 (Critical)**。 📢 **建议**：CVSS 向量显示危害极大 (C:H/I:H/A:H) 且无需认证。建议**立即**采取缓解措施或升级，防止服务器被直接接管。