CVE-2024-1813 — 神龙十问 AI 深度分析摘要

🚨 **本质**：PHP 反序列化漏洞（Unsafe Deserialization）。<br>🔥 **后果**：攻击者可远程执行任意代码，完全控制服务器。

🔍 **CWE**：CWE-502（反序列化不受信任的数据）。<br>📍 **缺陷点**：`job_board_applicant_list_columns_value` 函数直接处理了**不受信任的输入**进行反序列化。

📦 **产品**：WordPress Plugin **Simple Job Board**。<br>🏢 **厂商**：presstigers。<br>📉 **版本**：**2.11.0** 及之前所有版本。

⚔️ **权限**：最高权限（Root/Admin）。<br>💾 **数据**：完全泄露服务器数据。<br>📊 **CVSS**：3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H（**高危**，无认证即可利用）。

🚪 **门槛**：**极低**。<br>🔑 **认证**：无需登录（PR:N）。<br>🌐 **网络**：网络可达即可（AV:N）。<br>👀 **交互**：无需用户交互（UI:N）。

🧪 **Exp**：数据中 `pocs` 为空数组。<br>🚫 **现状**：暂无公开 PoC 或确认的在野利用报告。

🔎 **自查**：检查 WordPress 插件列表。<br>📋 **特征**：确认是否安装 **Simple Job Board** 且版本 **≤ 2.11.0**。

🛡️ **补丁**：参考链接指向 SVN 变更集（3051715），暗示已发布修复。<br>✅ **建议**：立即升级至最新版本。

⚠️ **临时规避**：<br>1. **禁用**该插件。<br>2. 若必须用，限制插件访问权限。<br>3. 部署 WAF 拦截异常序列化请求。

🔥 **优先级**：**紧急**。<br>💡 **理由**：CVSS 满分风险，无需认证，直接 RCE。建议 **24小时内** 完成修复。