CVE-2026-25447 — 神龙十问 AI 深度分析摘要

🚨 **本质**：代码注入漏洞。 💥 **后果**：攻击者可执行任意代码，完全控制目标系统。

🔍 **CWE**：CWE-94（代码注入）。 🐛 **缺陷**：代码生成控制不当，未正确净化输入。

📦 **产品**：WordPress Plugin Widget Wrangler。 👤 **厂商**：Jonathan Daggerhart。 📅 **版本**：2.3.9 及之前所有版本。

🔓 **权限**：获得服务器最高权限（RCE）。 📊 **数据**：可读取、修改、删除所有数据，甚至横向移动。

🔑 **门槛**：需 **High Privileges**（高权限）。 🌐 **网络**：网络可达（AV:N）。 👀 **交互**：无需用户交互（UI:N）。

🧪 **PoC**：数据中未提供现成 Exploit。 🌍 **在野**：暂无公开在野利用报告。

🔎 **自查**：检查 WP 后台插件列表。 📋 **特征**：确认是否安装 **Widget Wrangler** 且版本 **≤ 2.3.9**。

🛡️ **补丁**：需升级至 **2.3.9 之后** 的安全版本。 🔗 **参考**：Patchstack 有详细漏洞描述。

⚠️ **临时**：立即 **停用** 该插件。 🚫 **隔离**：若无替代方案，限制后台访问权限。

🔥 **优先级**：**极高**。 💡 **建议**：CVSS 满分风险，S:C/C:H/I:H/A:H，建议 **立即修复**！