CVE-2024-47636 — 神龙十问 AI 深度分析摘要

🚨 **本质**：不受信任的数据反序列化（PHP Object Injection）。<br>💥 **后果**：攻击者可注入恶意对象，导致**完全控制**服务器，数据泄露或网站被篡改。

🔍 **CWE-502**：反序列化漏洞。<br>🐛 **缺陷点**：JobSearch 插件在处理数据时，直接反序列化来自**不可信来源**的数据，未做安全校验。

🎯 **厂商**：eyecix。<br>📦 **产品**：WordPress Plugin JobSearch。<br>⚠️ **版本**：**2.5.9 及之前**所有版本均受影响。

👑 **权限**：远程代码执行（RCE），等同于管理员权限。<br>📂 **数据**：高机密性（C:H）、高完整性（I:H）、高可用性（A:H）影响。可窃取数据库、植入后门。

📉 **门槛极低**。<br>🔓 **认证**：无需认证（PR:N）。<br>🌐 **网络**：网络可达即可（AV:N）。<br>👤 **交互**：无需用户交互（UI:N）。

📄 **PoC**：数据中 `pocs` 字段为空，暂无公开具体利用代码。<br>🌍 **在野**：未提及在野利用情况，但鉴于 CVSS 满分风险，需高度警惕。

🔎 **自查**：检查 WordPress 后台插件列表。<br>🔍 **特征**：确认是否安装 **JobSearch** 插件，且版本号 **≤ 2.5.9**。

🛡️ **补丁**：官方已发布修复建议。<br>🔗 **参考**：Patchstack 已收录该漏洞详情，建议立即升级至**最新版本**。

🚧 **临时规避**：<br>1. **禁用/卸载**该插件。<br>2. 若必须使用，限制插件目录的**写入权限**。<br>3. 配置 WAF 拦截可疑的**反序列化载荷**。

🔥 **优先级：极高**。<br>⚡ **理由**：CVSS 3.1 满分（10.0），无需认证即可远程执行代码。建议**立即修复**，否则网站面临被黑风险。