CVE-2024-2411 — 神龙十问 AI 深度分析摘要

🚨 **本质**：本地文件包含 (LFI) 漏洞。 💥 **后果**：攻击者可包含并执行服务器上的任意 PHP 文件，导致 **远程代码执行 (RCE)**。

🔍 **CWE**：CWE-98 (Improper Control of Filename for Include/Require)。 🐛 **缺陷**：未对用户控制的输入进行充分验证，导致恶意文件路径被包含。

🎯 **组件**：WordPress Plugin **MasterStudy LMS**。 📦 **版本**：**3.3.0 及之前版本**（含免费版）。

👑 **权限**：未经身份验证即可操作。 📂 **数据**：可执行任意 PHP 代码，完全控制服务器，窃取数据或植入后门。

🚪 **门槛**：**极低**。 🔑 **认证**：**无需登录** (PR:N)。 🌐 **网络**：远程利用 (AV:N)。 🎯 **复杂度**：低 (AC:L)。

📜 **PoC**：数据中未提供具体 PoC 链接。 🔥 **在野**：暂无明确在野利用报告，但 CVSS 评分极高，风险巨大。

🔎 **自查**：检查 WordPress 插件列表。 🔍 **特征**：确认是否安装 **MasterStudy LMS** 且版本 **≤ 3.3.0**。

🛡️ **补丁**：已修复。 📢 **版本**：官方在 **3.3.1** 版本中修复了此漏洞。 🔗 **参考**：StylemixThemes 官方 Changelog。

🚧 **临时规避**： 1. 立即升级至 **3.3.1+**。 2. 若无法升级，暂时 **禁用/卸载** 该插件。 3. 配置 WAF 拦截文件包含相关请求。

⚡ **优先级**：**紧急 (Critical)**。 📊 **CVSS**：**9.8** (极高)。 💡 **建议**：立即修复，无需等待，防止被自动化脚本扫描利用。