CVE-2024-49326 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WordPress插件 Affiliator 存在**不受限制的文件上传**漏洞。 💥 **后果**：攻击者可上传恶意文件，导致**服务器被完全控制**，数据泄露或网站被篡改。

🔍 **CWE**：CWE-434（不受限制的文件上传）。 🐛 **缺陷**：插件未对上传文件的**类型**进行有效校验，允许上传危险文件。

🎯 **受影响**：WordPress 插件 **Affiliator**。 📦 **版本**：**2.1.3 版本及之前**的所有版本。

👑 **权限**：获得**服务器最高权限**（RCE）。 📂 **数据**：可读取/修改所有网站数据，植入后门。

🚪 **门槛**：**极低**。 🔓 **条件**：**无需认证**（PR:N），无需用户交互（UI:N），网络远程即可利用。

📜 **Exp**：数据中未提供现成 PoC。 ⚠️ **风险**：CVSS 评分极高，**在野利用风险大**，建议视为高危。

🔎 **自查**：检查 WordPress 后台插件列表。 🔍 **特征**：确认是否安装 **Affiliator** 插件且版本 **≤ 2.1.3**。

🛡️ **补丁**：需升级至**修复后的新版本**。 🔗 **参考**：查看 Patchstack 官方修复建议链接。

⚠️ **规避**：若无法升级，立即**停用并卸载**该插件。 🚫 **限制**：禁止未授权用户上传文件。

🔥 **优先级**：**紧急**。 📈 **评分**：CVSS 3.1 **9.8分**（Critical），建议**立即修复**。