CVE-2024-35767 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WordPress插件Squeeze存在**不受限制的危险类型文件上传**漏洞。 💥 **后果**：攻击者可上传恶意文件，导致**代码注入**，完全控制网站。

🔍 **CWE**：CWE-434（不受限制的危险类型文件上传）。 📍 **缺陷点**：插件未对上传文件的类型进行严格校验，允许执行危险文件。

📦 **组件**：WordPress Plugin **Squeeze**。 🏷️ **版本**：**1.4版本及之前**的所有版本均受影响。

👑 **权限**：获得服务器**代码执行权限**。 📂 **数据**：可窃取数据库、修改网站内容、植入后门，危害极大。

🔐 **门槛**：中等。 ⚙️ **配置**：CVSS显示需要**PR:H**（高权限/认证），即攻击者需先登录WordPress后台才能利用。

🧪 **Exp**：数据中**pocs为空**，暂无公开PoC。 🌍 **在野**：暂无在野利用报告，但风险极高。

🔎 **自查**：检查WordPress后台插件列表。 ✅ **特征**：确认是否安装 **Squeeze** 插件，且版本号 **≤ 1.4**。

🛡️ **补丁**：参考链接指向PatchStack，建议立即升级至**修复后的最新版本**。 📢 **官方**：需联系开发者Bogdan Bendziukov获取更新。

🚧 **临时规避**：若无补丁，立即**停用或删除**该插件。 🔒 **限制**：严格限制后台访问权限，启用WAF拦截文件上传请求。

⚡ **优先级**：**高**。 📉 **建议**：CVSS分数高（C:H/I:H/A:H），一旦认证绕过即致命。建议**立即行动**，优先升级或下线插件。