CVE-2024-49242 — 神龙十问 AI 深度分析摘要

🚨 **本质**：任意文件上传漏洞。 💥 **后果**：攻击者可上传恶意脚本，导致**服务器被完全控制**（RCE），数据泄露或篡改。

🔍 **CWE**：CWE-434（任意文件上传）。 🐛 **缺陷**：未严格校验上传文件的**类型**，允许上传危险文件（如PHP）。

🎯 **组件**：WordPress 插件 **Digital Lottery**。 📦 **版本**：**3.0.5** 及之前所有版本。

👑 **权限**：无需认证（PR:N）。 📂 **数据**：可执行任意代码，获取**最高权限**，读取/修改所有网站数据。

🚪 **门槛**：**极低**。 ⚙️ **配置**：无需登录，无需用户交互（UI:N），远程直接利用。

📜 **Exp**：暂无公开 PoC。 🌍 **在野**：数据未显示在野利用，但风险极高，需警惕。

🔎 **自查**：检查 WP 插件列表，确认是否安装 **Digital Lottery** 且版本 **≤ 3.0.5**。

🛡️ **补丁**：官方未提供具体补丁链接。 ✅ **建议**：立即升级至**最新安全版本**（若存在）。

🚧 **临时**：若无法升级，建议**立即卸载**该插件。 🔒 **替代**：寻找其他安全的彩票/抽奖插件替代。

🔥 **优先级**：**紧急**。 ⚡ **CVSS**：9.8（Critical）。远程无认证即可利用，必须**立即修复**。