CVE-2024-4371 — 神龙十问 AI 深度分析摘要

🚨 **本质**：PHP 对象注入漏洞。 💥 **后果**：攻击者可远程执行任意代码，完全控制网站。

🔍 **CWE**：CWE-502（反序列化不可信数据）。 📍 **缺陷**：未对用户输入进行严格过滤，导致恶意对象被反序列化。

📦 **产品**：CoDesigner – All in One Elementor WooCommerce Builder。 📉 **版本**：4.4.1 之前所有版本。

👑 **权限**：无需认证，直接获取管理员权限。 📂 **数据**：可读取、修改数据库，植入后门，接管整个 WordPress 站点。

🚪 **门槛**：低。 🌐 **条件**：无需登录（PR:N），无需用户交互（UI:N），网络远程即可利用。

📜 **状态**：数据中未提供公开 PoC 或确切的在野利用报告。 ⚠️ **注意**：CVSS 评分极高，存在被自动化利用的高风险。

🔎 **自查**：检查 WordPress 插件列表。 🔍 **特征**：查找名为 “CoDesigner – All in One Elementor WooCommerce Builder” 的插件，确认版本号是否 < 4.4.1。

🛡️ **修复**：官方已发布修复版本（4.4.1+）。 🔄 **动作**：立即登录 WordPress 后台，更新该插件至最新版本。

🚧 **临时方案**：若无法立即更新，建议暂时禁用该插件。 🔒 **限制**：限制插件目录写入权限，监控服务器异常进程。

🔥 **优先级**：P0（紧急）。 📊 **评分**：CVSS 3.1 满分附近（10.0），远程无认证即可利用，必须立即处理。