CVE-2024-37089 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径遍历漏洞 (Path Traversal)。 💥 **后果**：攻击者可读取服务器上的任意文件，导致敏感信息泄露。

🔍 **CWE**：CWE-22 (路径遍历)。 🐛 **缺陷**：未对用户输入的文件路径进行严格校验，允许访问受限目录。

🎯 **受影响**：WordPress 插件 **Consulting Elementor Widgets**。 📦 **版本**：**1.3.0** 及之前所有版本。

🕵️ **黑客能力**： - **读取文件**：获取服务器敏感配置、源码。 - **权限提升**：结合其他漏洞可能进一步控制服务器。 - **数据泄露**：窃取用户数据或系统凭证。

🔓 **门槛**：**低**。 - **无需认证**：未授权访问 (Unauthenticated)。 - **无需交互**：无需用户点击 (UI:N)。 - **网络可达**：远程利用 (AV:N)。

📜 **Exp/PoC**：数据中 **pocs** 字段为空，暂无公开 PoC。 ⚠️ **注意**：CVSS 评分高，实际利用风险极大，需警惕在野利用。

🔎 **自查方法**： - 检查 WordPress 插件列表，确认是否安装 **Consulting Elementor Widgets**。 - 确认版本是否为 **1.3.0** 或更低。 - 扫描工具检测路径遍历特征。

🛡️ **官方修复**：建议升级至 **1.3.1** 或更高版本（参考 Patchstack 链接）。 📅 **发布时间**：2024-06-24。

🚧 **临时规避**： - **禁用插件**：立即停用该插件。 - **WAF 防护**：配置 Web 应用防火墙拦截路径遍历请求。 - **权限最小化**：限制 Web 目录读取权限。

🔥 **优先级**：**高**。 - **CVSS 评分**：高危 (C:H, I:H, A:H)。 - **利用难度**：无需认证，远程利用。 - **建议**：立即排查并升级，避免数据泄露风险。