CVE-2024-49624 — 神龙十问 AI 深度分析摘要

🚨 **本质**：PHP对象注入（反序列化漏洞）。 🔥 **后果**：攻击者可执行任意代码，彻底接管服务器。

🔍 **CWE-502**：反序列化不安全数据。 ⚠️ **缺陷**：处理了**不受信任的数据**，导致恶意对象被实例化。

📦 **组件**：WordPress插件 **Advanced Advertising System**。 🏢 **厂商**：smartdevth。 📅 **版本**：**1.3.1** 及更早版本。

👑 **权限**：获得**最高权限**（Root/Admin）。 💾 **数据**：完全泄露、篡改或删除所有网站数据。 💥 **影响**：CVSS评分极高（H/H/H），破坏性极大。

🚪 **门槛**：**极低**。 🔑 **认证**：**无需认证**（PR:N）。 🌐 **网络**：远程利用（AV:N）。 👀 **交互**：无需用户交互（UI:N）。

📄 **PoC**：数据中未提供具体利用代码。 🌍 **在野**：暂无明确在野利用报告。 🔗 **参考**：Patchstack 数据库已收录详情。

🔎 **自查**：检查WP后台是否安装该插件。 📋 **版本**：确认版本是否 **≤ 1.3.1**。 🛠️ **扫描**：使用WAF或漏洞扫描器检测反序列化特征。

🛡️ **补丁**：需联系厂商 **smartdevth** 获取更新。 🔄 **建议**：立即升级至修复后的最新版本。 📝 **状态**：官方已发布安全公告。

🚫 **规避**：立即**卸载**该插件。 🔒 **隔离**：若必须保留，限制服务器网络访问权限。 🧹 **清理**：检查服务器日志，排查异常进程。

🔴 **优先级**：**紧急**。 ⚡ **理由**：无需认证+远程代码执行+高破坏力。 🏃 **行动**：建议 **24小时内** 完成修复或卸载。