CVE-2024-11613 — 神龙十问 AI 深度分析摘要

🚨 **本质**：代码注入漏洞（RCE） 💥 **后果**：攻击者可远程执行任意代码，完全控制服务器。

🔍 **CWE**：CWE-94（代码注入） 📍 **缺陷点**：`wfu_file_downloader.php` 中的 `source` 参数未清理，允许用户定义目录路径。

📦 **组件**：WordPress File Upload 插件 📉 **版本**：4.24.15 及之前所有版本 🏷️ **厂商**：nickboss / Iptanus File Upload

👑 **权限**：远程代码执行（RCE） 📂 **数据**：可读取任意文件、删除任意文件，服务器权限沦陷。

🚪 **门槛**：极低 🔓 **认证**：**无需认证**（Unauthenticated） 🌐 **网络**：网络可达即可利用（AV:N）

💣 **Exp**：有现成 PoC 🔗 **来源**：GitHub (Sachinart/CVE-2024-11613-wp-file-upload) 👤 **作者**：Chirag Artani

🔎 **自查**：检查是否安装 **WordPress File Upload** 插件 📋 **版本**：确认版本是否 **≤ 4.24.15** 🕵️ **痕迹**：监测对 `wfu_file_downloader.php` 的异常请求。

🛠️ **修复**：升级至 **4.24.16** 或更高版本 📝 **参考**：WordPress SVN 变更集 3217005

🛡️ **临时规避**： 1. **卸载**该插件（推荐） 2. 若无插件，通过 WAF 拦截 `wfu_file_downloader.php` 的恶意 `source` 参数。 3. 限制服务器目录权限。

⚡ **优先级**：**紧急 (Critical)** 📊 **CVSS**：9.8 (极高) 💡 **建议**：立即升级或卸载，无需等待，攻击成本为零。