CVE-2023-29384 — 神龙十问 AI 深度分析摘要

🚨 **本质**：任意文件上传漏洞 (Arbitrary File Upload) 💥 **后果**：攻击者可上传恶意文件，导致**远程代码执行 (RCE)**，完全控制服务器。

🔍 **CWE**：CWE-434 (任意文件上传) 🐛 **缺陷点**：插件未对上传文件进行严格的**类型检查**或**路径验证**，允许上传可执行脚本。

🏢 **厂商**：HM Plugin 📦 **产品**：WordPress Job Board and Recruitment Plugin (JobWP) 📌 **版本**：数据未明确具体版本号，但提及 **2.0** 存在此漏洞。

👑 **权限**：获得服务器**最高权限** (Root/Admin) 📂 **数据**：可读取/篡改所有网站数据、数据库及系统文件。

📉 **门槛**：**极低** 🔓 **认证**：无需认证 (PR:N) 🌐 **网络**：网络可达即可 (AV:N) 🖱️ **交互**：无需用户交互 (UI:N)

🧪 **PoC**：有！GitHub 上有 **Auto Exploiter** 脚本 (nastar-id/CVE-2023-29384) 🔥 **在野**：暂无明确在野利用报告，但利用工具已公开。

🔎 **自查**：检查 WordPress 后台是否安装 **JobWP** 插件 📡 **扫描**：使用 WAF 或漏洞扫描器检测**文件上传接口**的异常行为 📝 **日志**：监控 `/wp-content/uploads/` 下的可疑 PHP 文件。

🛠️ **补丁**：厂商已发布修复方案 🔗 **参考**：Patchstack 数据库已收录修复建议，建议立即升级至**安全版本**。

🚧 **临时规避**： 1. 禁用**文件上传**功能 2. 限制上传目录**执行权限** (如禁止 .php 执行) 3. 暂时**停用**该插件。

⚠️ **优先级**：**紧急** (Critical) 📈 **CVSS**：**9.8** (极高危) 💡 **建议**：立即修补，防止被自动化脚本批量利用。