CVE-2021-24284 — 神龙十问 AI 深度分析摘要

🚨 **本质**：任意文件上传漏洞。 💥 **后果**：攻击者可上传恶意文件（如PHP Webshell），直接导致**服务器被控**或**代码执行**。

🔍 **CWE-434**：任意文件上传。 🐛 **缺陷点**：`uploadFontIconAJAX` 动作未验证文件类型，直接解压 ZIP 包到 `wp-content` 目录，**无安全检查**。

🎯 **受影响**：WordPress 插件 **Kaswara Modern VC Addons**。 📦 **版本**：**3.0.1 及之前版本**。 🏢 **厂商**：SayenThemes。

🕵️ **黑客能力**： 1. 上传 **PHP 恶意脚本**。 2. 获取**远程代码执行 (RCE)** 权限。 3. 窃取网站数据或植入后门。

📉 **门槛极低**。 🔓 **无需认证**：未经验证的任意文件上传。 ⚙️ **无需特殊配置**：利用 AJAX 动作即可触发。

📜 **有现成 Exp**。 🔗 **PoC**：ProjectDiscovery Nuclei 模板已收录。 🌍 **在野利用**：PacketStorm 等安全社区已有详细利用说明。

🔎 **自查方法**： 1. 检查是否安装 **Kaswara Modern VC Addons**。 2. 确认版本是否 **≤ 3.0.1**。 3. 扫描 `wp-content/uploads/kaswara/fonts_icon` 目录是否有可疑 PHP 文件。

🛡️ **修复建议**： 1. **升级**插件至修复后的最新版本。 2. 若无法升级，参考厂商公告（WPSecurity 链接）获取缓解措施。

⚠️ **临时规避**： 1. **禁用**该插件。 2. 限制 `wp-content/uploads` 目录的 **PHP 执行权限**。 3. 配置 WAF 拦截 `uploadFontIconAJAX` 的异常请求。

🔥 **优先级：高**。 💡 **理由**：无需登录即可利用，直接导致 RCE，危害极大。建议**立即排查并修复**。