CVE-2018-10942 — 神龙十问 AI 深度分析摘要

🚨 **本质**：文件上传漏洞。 💥 **后果**：攻击者可上传 `.phtml` 文件，进而**执行任意代码**，彻底接管服务器。

🛡️ **缺陷点**：`file_upload.php` 文件缺乏严格的**文件类型校验**。 🔍 **CWE**：数据中未提供具体 CWE ID，但属于典型的**不安全文件上传**缺陷。

📦 **受影响组件**：PrestaShop **Attribute Wizard addon** (版本 1.6.9)。 📅 **受影响系统**：PrestaShop **1.4.0.1 至 1.6.1.18** 版本。

👑 **权限**：远程攻击者可获得**服务器端代码执行权限**。 📂 **数据**：可读取、修改或删除网站所有数据，甚至控制整个主机。

🚪 **门槛**：**低**。 🔓 **认证**：远程无需认证即可利用。 ⚙️ **配置**：只要安装了该特定版本的插件即可触发。

💻 **Exp**：**有**。 🔗 项目discovery/nuclei-templates 中已有现成 PoC 模板，可直接用于自动化扫描。

🔍 **自查特征**：检查是否存在路径 `modules/attributewizardpro/file_upload.php`。 📡 **扫描**：使用支持 CVE-2018-10942 的漏洞扫描器（如 Nuclei）进行检测。

🛠️ **官方修复**：数据中未提及具体补丁链接。 💡 **建议**：升级 Attribute Wizard addon 至安全版本，或升级 PrestaShop 核心至最新稳定版。

🚧 **临时规避**： 1. **禁用/卸载**该插件。 2. 在 Web 服务器配置中**禁止执行** `modules/attributewizardpro/` 目录下的 PHP 代码。 3. 严格限制上传目录的**执行权限**。

🔥 **优先级**：**高**。 ⚠️ 远程代码执行 (RCE) 是最高危漏洞，无需认证即可利用，建议**立即修复**。