CVE-2024-35629 — 神龙十问 AI 深度分析摘要

🚨 **本质**：远程文件包含 (RFI) 漏洞。<br>📉 **后果**：攻击者可执行任意代码，导致服务器被完全控制，数据泄露或网站被篡改。

🔍 **CWE-98**：竞争条件/路径操作不当。<br>📍 **缺陷点**：**文件名控制不当**。插件未正确验证或清理用户输入的文件名，导致恶意路径注入。

📦 **组件**：WordPress 插件 **Easy Digital Downloads – Recent Purchases**。<br>🏢 **厂商**：Wow-Company。<br>📅 **版本**：**1.0.2 及之前版本**均受影响。

🔓 **权限**：获得 **Web 服务器权限**（如 www-data）。<br>💾 **数据**：可读取/修改数据库、窃取用户数据、植入后门。<br>⚡ **影响**：CVSS 评分高，**完整性 (I:H)** 和 **可用性 (A:H)** 均受严重威胁。

⚠️ **门槛**：**低**。<br>🔑 **认证**：**无需认证** (PR:N)。<br>🖱️ **交互**：需用户交互 (UI:R)，但远程攻击者通常可通过诱导点击或自动化脚本利用。<br>🌐 **网络**：网络可访问 (AV:N)。

🚫 **PoC**：数据中 **pocs 为空**，暂无公开代码级利用脚本。<br>🌍 **在野**：数据未提及在野利用，但鉴于无需认证，风险极高，需警惕。

🔍 **自查**：<br>1. 检查 WP 插件列表，确认是否安装 **Easy Digital Downloads – Recent Purchages**。<br>2. 核对版本号是否 **≤ 1.0.2**。<br>3. 扫描工具可检测 RFI 特征或特定插件指纹。

🛡️ **补丁**：数据未提供具体补丁链接或版本号。<br>💡 **建议**：参考 Patchstack 官方链接 (references) 获取最新修复版本或官方公告。

🚧 **临时规避**：<br>1. **立即停用**该插件。<br>2. 若必须使用，尝试限制插件目录的**文件写入权限**。<br>3. 配置 WAF 拦截包含 `../` 或远程 URL 的恶意请求。

🔥 **优先级**：**紧急 (Critical)**。<br>📊 **理由**：CVSS 向量显示 **攻击复杂度低 (AC:L)** 且 **无需权限 (PR:N)**，危害范围极大 (S:C, C:H, I:H, A:H)。建议立即处置。