CVE-2024-22144 — 神龙十问 AI 深度分析摘要

🚨 **本质**：代码注入漏洞 (Code Injection)。 💥 **后果**：攻击者可注入恶意代码，导致 **RCE (远程代码执行)**，完全控制服务器。

🔍 **CWE**：CWE-94 (代码注入)。 📍 **缺陷点**：对 **代码生成控制不当**，缺乏严格的输入验证或输出转义。

📦 **组件**：WordPress 插件 **Anti-Malware Security and Brute-Force Firewall**。 📅 **版本**：**4.21.96 及之前版本** (v4.21.96 and earlier)。

👑 **权限**：无需认证 (Unauthenticated)。 📊 **数据**：可执行任意系统命令，获取 **最高权限**，窃取/篡改所有网站数据。

📉 **门槛**：**低**。 🔑 **条件**：**无需认证** (PR:N)，但利用复杂度较高 (AC:H)，需精心构造请求。

🧪 **Exp**：数据中 **PoCs 为空**。 🌍 **在野**：暂无明确在野利用报告，但存在第三方技术分析，需警惕。

🔎 **自查**：检查 WP 插件列表，确认是否安装 **Anti-Malware** 插件。 📋 **版本**：核对版本号是否 **≤ 4.21.96**。

🛡️ **修复**：官方已发布修复版本。 ✅ **动作**：立即升级至 **4.21.97 或更高版本**。

⚠️ **临时规避**：若无补丁，可尝试 **禁用该插件**。 🚫 **限制**：降低安全性，建议尽快升级或隔离受影响实例。

🔥 **优先级**：**极高 (Critical)**。 📈 **CVSS**：9.8 分。 💡 **建议**：**立即修复**，此漏洞允许未授权远程代码执行，风险极大。