CVE-2024-3962 — 神龙十问 AI 深度分析摘要

🚨 **本质**：文件上传类型验证缺失。 💥 **后果**：攻击者可上传恶意脚本，直接控制网站或窃取数据。

🔍 **CWE-434**：不受限制的文件上传。 📍 **缺陷点**：`ppom_upload_file` 函数未严格校验文件类型。

🛡️ **厂商**：ThemeIsle。 📦 **产品**：PPOM – Product Addons & Custom Fields for WooCommerce。 ⚠️ **版本**：32.0.18 及更早版本。

👑 **权限**：高（CVSS A:H）。 📂 **数据**：完全泄露（C:H）且可篡改（I:H）。 💻 **能力**：远程执行代码，接管服务器。

🚪 **门槛**：极低。 🔑 **认证**：无需认证（PR:N）。 🌐 **网络**：网络可达即可（AV:N）。 👀 **交互**：无需用户交互（UI:N）。

📜 **PoC**：数据中未提供公开 PoC。 🔥 **在野**：暂无在野利用报告记录。

🔎 **自查**：检查 WordPress 插件列表。 🔍 **特征**：确认是否安装 `PPOM` 插件且版本 ≤ 32.0.18。

🛠️ **补丁**：官方已发布修复版本。 🔗 **参考**：见 ThemeIsle 官方链接及 WordPress 插件更新日志。

⏸️ **临时规避**：若无法立即升级，建议暂时禁用该插件。 🚫 **限制**：禁止未授权用户上传文件至 WooCommerce 产品字段。

🔥 **优先级**：极高（Critical）。 ⚡ **建议**：立即升级至最新版本，无需等待。