CVE-2024-49611 — 神龙十问 AI 深度分析摘要

🚨 **本质**：不受限制的文件上传漏洞。 💥 **后果**：攻击者可上传恶意文件，导致**服务器被完全控制**（RCE），数据泄露或网站被篡改。

🔍 **CWE**：CWE-434（不受限制的文件上传）。 🐛 **缺陷**：插件未对上传文件的**类型**进行严格校验，允许上传危险文件。

🎯 **组件**：WordPress 插件 **Product Website Showcase**。 📦 **版本**：**1.0 版本及之前**的所有版本均受影响。

🕵️ **权限**：无需认证（PR:N），远程即可利用。 📂 **数据**：可执行任意代码，获取**服务器最高权限**，窃取数据库或植入后门。

📉 **门槛**：**极低**。 🔓 **条件**：无需登录，无需用户交互，网络向量 AV:N，攻击复杂度 AC:L。

📄 **Exp**：数据中 **pocs 为空**，暂无公开 PoC。 🌍 **在野**：未提及在野利用，但鉴于 CVSS 高分，风险极高。

🔎 **自查**：检查 WordPress 插件列表。 🔍 **特征**：确认是否安装 **Product Website Showcase** 且版本 **≤ 1.0**。

🛡️ **补丁**：数据未提供具体补丁链接。 ✅ **建议**：参考 Patchstack 链接，联系厂商 **paxmanpwnz** 获取修复版本。

🚧 **规避**：立即**卸载**该插件。 🔒 **限制**：若必须保留，严格限制上传目录权限，禁用 PHP 执行，或配置 WAF 拦截上传请求。

⚠️ **优先级**：**紧急**。 🔥 **理由**：CVSS 评分 **9.8** (Critical)，无需认证即可远程代码执行，建议**立即处置**。