CVE-2024-49327 — 神龙十问 AI 深度分析摘要

🚨 **本质**：任意文件上传漏洞。📉 **后果**：攻击者可上传恶意脚本，直接导致 **服务器被控**、数据泄露或网站被篡改。

🔍 **CWE**：CWE-434（任意文件上传）。💥 **缺陷**：插件未严格校验上传文件的 **类型**，允许上传危险文件（如PHP脚本）。

🎯 **组件**：WordPress 插件 **Woostagram Connect**。📦 **版本**：1.0.2 及 **之前** 所有版本。🏢 **厂商**：bepitulaz。

👑 **权限**：获得 **Webshell** 控制权。📂 **数据**：可读取数据库、窃取用户信息、植入后门。⚡ **影响**：CVSS 评分极高，完整性与可用性均受损。

🚪 **门槛**：**低**。CVSS 显示无需认证 (PR:N)、无需用户交互 (UI:N)，远程即可利用。🌐 **攻击面**：网络可达即可尝试。

📜 **PoC**：数据中未提供现成 Exploit。🌍 **在野**：暂无公开在野利用报告，但漏洞原理简单，利用风险高。

🔎 **自查**：检查 WP 后台是否安装 **Woostagram Connect**。📋 **版本**：确认版本是否 ≤ 1.0.2。🛡️ **扫描**：使用 WAF 或漏洞扫描器检测任意文件上传特征。

🛠️ **补丁**：数据未提及官方已发布修复版本。⚠️ **现状**：建议立即联系厂商或查看 Patchstack 链接获取最新状态。

🚫 **规避**：立即 **停用/卸载** 该插件。🔒 **限制**：若必须保留，严格限制上传目录执行权限，禁止 PHP 执行。

🔥 **优先级**：**紧急**。🚨 无需认证+远程代码执行=高危。建议 **立即** 采取缓解措施，防止被自动化扫描攻击。