CVE-2024-31351 — 神龙十问 AI 深度分析摘要

🚨 **本质**：不受限制的文件上传漏洞。 💥 **后果**：攻击者可上传恶意文件，导致**服务器被完全控制**（RCE），数据泄露或网站被篡改。

🔍 **CWE**：CWE-434 (不受限制的文件上传)。 📍 **缺陷点**：插件未对上传文件的**类型**和**内容**进行严格校验，允许上传危险类型文件。

📦 **组件**：WordPress 插件 **Copymatic – AI Content Writer & Generator**。 📅 **版本**：版本 **1.6 及之前**的所有版本均受影响。

👮 **权限**：**未授权**（Unauthenticated），无需登录即可利用。 📊 **数据**：CVSS评分极高（H/H/H），可获取**高机密性**、**高完整性**及**高可用性**影响，即**完全控制**。

🚪 **门槛**：**极低**。 🔑 **认证**：**无需认证**（PR:N）。 🌐 **网络**：远程利用（AV:N）。 🧠 **复杂度**：低（AC:L）。

💻 **Exp**：**有现成 PoC**。 🔗 来源：GitHub 用户 KTN1990 已公开利用代码，可直接运行 Python 脚本进行攻击。

🔎 **自查**：检查 WordPress 后台插件列表。 📋 **特征**：确认是否安装 **Copymatic** 插件，且版本号 **≤ 1.6**。

🛡️ **修复**：官方已发布修复建议。 📌 **动作**：请立即升级插件至**最新版本**，或参考 Patchstack 等安全数据库的修复指引。

⚠️ **临时规避**：若无法立即升级： 1. **停用**该插件。 2. 检查服务器上传目录权限，禁止执行 PHP 脚本。 3. 配置 WAF 拦截异常文件上传请求。

🔥 **优先级**：**紧急 (Critical)**。 💡 **建议**：CVSS 向量显示为高危，且存在**未授权**利用和**现成 Exp**，建议**立即**处置，避免被自动化脚本扫描攻击。