CVE-2024-27972 — 神龙十问 AI 深度分析摘要
CVSS 9.9 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:WP Fusion Lite 插件存在 **命令注入** 漏洞。 💥 **后果**:攻击者可实现 **远程代码执行 (RCE)**,直接控制服务器。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-94(代码注入)。 📍 **缺陷点**:`includes/class-shortcodes.php` 文件中,短代码处理逻辑不当,导致恶意输入被当作代码执行。
Q3影响谁?(版本/组件)
📦 **产品**:WordPress Plugin WP Fusion Lite。 👤 **厂商**:Jack Arturo。 📅 **披露**:2024-04-03。
Q4黑客能干啥?(权限/数据)
🛡️ **权限**:需 **Contributor+** 角色权限。 🔓 **数据**:可读取/修改服务器任意文件,执行系统命令,完全接管网站。
Q5利用门槛高吗?(认证/配置)
⚠️ **门槛**:中等。 🔑 **条件**:需要 **认证**(Authenticated),但只需 **Contributor** 及以上低权限账号即可利用。
Q6有现成Exp吗?(PoC/在野利用)
💣 **PoC**:有现成利用代码。 🔗 **来源**:GitHub (truonghuuphuc/CVE-2024-27972-Poc)。 📌 **范围**:版本 <= 3.41.24。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 WordPress 后台插件列表。 📋 **特征**:确认是否安装 **WP Fusion Lite** 且版本 **<= 3.41.24**。
Q8官方修了吗?(补丁/缓解)
🛠️ **修复**:官方已发布补丁。 ✅ **建议**:立即升级至 **最新版本**(高于 3.41.24)。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**: 1. 升级插件。 2. 若无补丁,**禁用** WP Fusion Lite 插件。 3. 严格限制 **Contributor** 及以上用户的创建权限。
Q10急不急?(优先级建议)
🔥 **优先级**:**极高 (Critical)**。 📉 **CVSS**:9.8 (AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H)。 ⏳ **行动**:立即修补,防止服务器被完全接管。