CVE-2024-11642 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径遍历 + 本地文件包含 (LFI)。 🔥 **后果**：攻击者可读取服务器敏感文件，甚至可能执行恶意代码，导致网站被完全控制。

🔍 **CWE-22**：路径遍历漏洞。 🐛 **缺陷点**：插件未对用户输入的文件路径进行严格校验，导致可访问非预期目录。

📦 **组件**：Post Grid Master (Post Grids & AJAX Filters)。 🏷️ **厂商**：mdshuvo。 ⚠️ **版本**：**3.4.12 及之前版本**均受影响。

💀 **权限**：高 (CVSS H)。 📂 **数据**：可读取任意本地文件（如 wp-config.php 获取数据库密码）。 💥 **影响**：完整性 (I:H) 和可用性 (A:H) 均受重创。

🚪 **门槛**：极低。 🔑 **认证**：无需认证 (PR:N)。 🌐 **网络**：远程利用 (AV:N)。 👤 **交互**：无需用户交互 (UI:N)。

📜 **PoC**：数据中未提供现成 Exploit。 🌍 **在野**：暂无公开在野利用报告。 🔗 **参考**：WordFence 和官方 Trac 有详细代码分析。

🔎 **自查**：检查 WordPress 插件列表。 📋 **特征**：确认是否安装 **Post Grid Master** 且版本 **≤ 3.4.12**。 🛠️ **扫描**：使用 WAF 或漏洞扫描器检测 LFI 特征请求。

🛡️ **补丁**：参考链接显示 **3.4.13** 版本已修复（Shortcode.php 第 624 行改动）。 ✅ **建议**：立即升级至 **3.4.13 或更高版本**。

⚠️ **临时规避**：若无法升级，建议暂时**停用该插件**。 🚫 **限制**：限制插件目录的文件读取权限，或配置 WAF 拦截路径遍历字符 (../)。

🔥 **优先级**：**紧急 (Critical)**。 📉 **CVSS**：9.8 (极高)。 🚀 **行动**：鉴于无需认证且危害极大，建议**立即修复**，不要等待。