CVE-2024-13545 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径遍历 + 本地文件包含 (LFI)。 🔥 **后果**：攻击者可读取服务器任意文件，甚至可能执行代码，导致**完全失陷**。

🔍 **CWE**：CWE-22 (路径遍历)。 🐛 **缺陷**：未对用户输入的**文件路径**进行严格校验，导致可访问非预期目录。

📦 **组件**：WordPress 插件 **Bootstrap Ultimate**。 🏷️ **厂商**：eminozlem。 ⚠️ **版本**：**1.4.9 及之前**所有版本均受影响。

💀 **权限**：CVSS 3.1 满分 **9.8** (Critical)。 📂 **数据**：可读取**高敏感**系统文件（如 wp-config.php、/etc/passwd）。 🔓 **影响**：机密性、完整性、可用性**全部受损**。

🚪 **门槛**：**极低**。 👤 **认证**：**无需认证** (PR:N)。 🌐 **网络**：**远程** (AV:N)。 🎯 **复杂度**：**低** (AC:L)。

📜 **Exp**：数据中 **PoCs 为空**。 🌍 **在野**：暂无明确在野利用报告。 🔗 **参考**：Wordfence 已发布威胁情报分析。

🔎 **自查**：检查 WordPress 插件列表。 🔍 **特征**：查找名为 **Bootstrap Ultimate** 的插件。 📋 **版本**：确认版本号是否 **≤ 1.4.9**。

🛡️ **补丁**：数据未提供具体补丁链接。 ✅ **建议**：联系厂商 **eminozlem** 获取更新，或升级至修复版本。

⚠️ **规避**：若无法升级，建议**立即禁用/卸载**该插件。 🚫 **限制**：移除插件可阻断攻击入口，是最有效的临时措施。

🚨 **优先级**：**紧急 (P0)**。 📉 **风险**：CVSS 9.8 分，无需认证即可远程利用。 🏃 **行动**：建议**立即**排查并处理，防止服务器被控。