CVE-2024-49669 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WordPress插件 INK Official 存在**危险类型文件无限制上传**漏洞。 💥 **后果**：攻击者可上传 **Web Shell**，直接控制 Web 服务器。

🔍 **CWE**：CWE-434（无限制的文件上传）。 🐛 **缺陷**：未对上传文件的**类型**进行严格限制，导致恶意脚本可被上传。

📦 **组件**：WordPress Plugin **INK Official**。 📅 **版本**：**4.1.2 及之前版本**均受影响。

👑 **权限**：获得 Web 服务器权限（CVSS A:H）。 📂 **数据**：可完全读取/修改网站数据（CVSS C:H, I:H），甚至横向移动。

🔐 **门槛**：中等。 ⚠️ **要求**：需要 **PR:L**（低权限认证），即攻击者需拥有 WordPress 的**登录账号**才能利用。

📜 **Exp**：当前数据中 **PoCs 为空**。 🌍 **在野**：暂无公开在野利用报告，但风险极高。

🔎 **自查**：检查 WordPress 后台插件列表。 🔍 **特征**：确认是否安装 **INK Official** 且版本 **≤ 4.1.2**。

🛡️ **补丁**：官方已发布修复。 ✅ **行动**：立即升级至 **4.1.3 或更高版本**（参考 Patchstack 链接）。

⏸️ **临时规避**：若无法升级，**禁用**该插件。 🚫 **限制**：严格限制上传目录权限，禁止 PHP 执行。

🔥 **优先级**：**高**。 ⚡ **建议**：CVSS 评分极高（H），一旦有登录权限即可接管站点，建议**立即修复**。