CVE-2021-42362 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WordPress Popular Posts 插件存在**输入验证不足**。 💥 **后果**：攻击者可上传恶意文件，导致**远程代码执行 (RCE)**，服务器彻底沦陷。

🔍 **CWE**：CWE-434 (任意文件上传)。 📍 **缺陷点**：`~/src/Image.php` 文件中，对上传文件的**类型验证逻辑存在严重缺陷**，未严格校验文件扩展名或内容。

📦 **组件**：WordPress Popular Posts 插件。 📅 **状态**：漏洞披露于 2021-11-17，涉及未更新版本（如 5.3.2 等旧版本）。

👮 **权限**：需**贡献者 (Contributor)** 级别及以上账号权限。 🔓 **能力**：上传 Webshell，获取服务器**完全控制权**，读取/篡改所有数据。

⚠️ **门槛**：**中等**。 🔑 **条件**：不需要管理员权限，普通**贡献者**即可利用；无需用户交互 (UI:N)；网络远程访问 (AV:N)。

💻 **PoC**：**有现成代码**。 🔗 参考 GitHub 上的 `CVE-2021-42362-PoC` 和 `CVE-2021-42362` 仓库，利用脚本已公开。

🔎 **自查**：检查 WordPress 后台插件列表。 📌 **特征**：确认是否安装 **WordPress Popular Posts**，且版本号低于修复版本。

🛡️ **修复**：**已修复**。 🔧 **补丁**：官方已发布更新，提交记录见 `d9b274cf6812eb446e4103cb18f69897ec6fe601`，请升级插件至最新版。

🚧 **临时规避**： 1️⃣ 立即**卸载**该插件（如非必需）。 2️⃣ 限制**贡献者**权限用户的文件上传能力。 3️⃣ 在 Web 服务器层禁止上传目录执行 PHP 脚本。

🔥 **优先级**：**高 (Critical)**。 📉 **CVSS**：9.8 (极高)。 💡 **建议**：鉴于 PoC 公开且利用门槛低，建议**立即升级**或停用插件，防止被自动化脚本攻击。