CVE-2024-4620 — 神龙十问 AI 深度分析摘要

🚨 **本质**：文件上传逻辑缺陷。未经认证的用户可篡改已上传文件。后果：攻击者可植入 **PHP 恶意代码**，直接导致服务器被控。

🛡️ **缺陷点**：缺乏严格的 **文件内容校验** 与 **访问控制**。允许未授权修改上传资源，导致恶意脚本混入。

📦 **受影响**：**ARForms - Premium WordPress Form Builder Plugin**。版本：**6.6 之前**的所有版本。

💀 **黑客能力**：上传 **PHP 后门**。获得 **远程代码执行 (RCE)** 权限。可窃取数据、控制网站或作为跳板攻击内网。

🔓 **门槛极低**：**无需认证** (Unauthenticated)。只要目标站点安装了该插件且存在含文件上传的表单，即可利用。

🔍 **有现成 PoC**：是的。ProjectDiscovery 已提供 **Nuclei 模板** (CVE-2024-4620.yaml)，自动化扫描极易触发。

🔎 **自查方法**：1. 检查 WP 后台插件列表，确认 ARForms 版本 < 6.6。2. 使用 Nuclei 扫描模板进行自动化检测。

🛠️ **官方修复**：是。升级至 **ARForms 6.6 或更高版本** 即可修复此漏洞。

⚠️ **临时规避**：若无补丁，可暂时 **禁用该插件**，或限制表单上传目录的 **PHP 执行权限** (如 .htaccess 配置)。

🔥 **优先级：高**。无需登录即可利用，且直接导致 RCE。建议 **立即升级** 或采取缓解措施，防止被自动化脚本批量攻击。