CVE-2024-10392 — 神龙十问 AI 深度分析摘要

🚨 **本质**：任意文件上传漏洞。 📉 **后果**：攻击者可上传恶意脚本，完全控制网站，导致数据泄露或服务器沦陷。

🔍 **CWE-434**：任意文件上传。 🐛 **缺陷点**：`handle_image_upload` 函数**缺少文件类型验证**，未校验上传文件后缀或内容。

🎯 **组件**：WordPress 插件 **AI Power: Complete AI Pack**。 📦 **版本**：1.8.89 及**之前所有版本**。 🏷️ **厂商**：senols。

👑 **权限**：获得 **Web Shell** 执行权限。 💾 **数据**：可读取/篡改数据库、窃取用户信息、植入后门。

⚡ **门槛极低**。 🔓 **无需认证**：CVSS 显示 PR:N (无需权限)。 🌐 **网络可达**：AV:N (网络攻击)。 👤 **无需交互**：UI:N (无需用户界面交互)。

📜 **PoC**：数据中 `pocs` 字段为空，暂无公开代码。 🌍 **在野利用**：未提及，但鉴于无需认证，风险极高，需警惕。

🔎 **自查**：检查 WP 插件列表，确认是否安装 **AI Power**。 📅 **版本**：确认版本是否 **≤ 1.8.89**。 🛠️ **扫描**：使用 WAF 或漏洞扫描器检测该插件特定路径。

🛡️ **补丁**：官方已发布修复（参考 WordPress Trac changeset 3176122）。 ✅ **行动**：立即升级至**最新版本**以修复文件验证逻辑。

🚧 **临时规避**： 1. **禁用/卸载**该插件。 2. 限制 `/wp-content/uploads/` 目录的 **PHP 执行权限**。 3. 配置 WAF 拦截可疑上传请求。

🔥 **优先级：紧急**。 ⚠️ **理由**：CVSS 评分 **9.8** (Critical)，无需认证即可利用，直接导致服务器失陷。请立即修复！