CVE-2024-49671 — 神龙十问 AI 深度分析摘要

🚨 **本质**：AI Postpix 插件存在**危险文件上传漏洞**。 💥 **后果**：攻击者可上传 **Web Shell**，直接控制服务器。

🔍 **CWE**：CWE-434（**任意文件上传**）。 🐛 **缺陷**：插件未严格校验上传文件类型，导致恶意代码注入。

🎯 **组件**：WordPress 插件 **AI Postpix**。 📦 **版本**：**1.1.8 及之前**所有版本均受影响。

👑 **权限**：获得 **Web Shell** 执行权限。 📂 **数据**：可读取/篡改网站数据，甚至控制整个服务器（CVSS A:H）。

🔑 **门槛**：**低**。 🛡️ **条件**：需 **PR:L**（低权限认证），即需登录 WordPress 后台或具备一定访问权限。

📜 **Exp**：数据中 **无现成 PoC** 列表。 🌍 **在野**：暂无明确在野利用报告，但风险极高。

🔎 **自查**：检查是否安装 **AI Postpix** 插件。 📋 **版本**：确认版本号是否 **≤ 1.1.8**。

🛠️ **修复**：参考 Patchstack 链接，建议立即**升级插件**至最新版本。 📝 **状态**：漏洞已公开，需尽快打补丁。

🚧 **临时规避**：若无法升级，**禁用/卸载**该插件。 🔒 **限制**：严格限制文件上传目录权限，禁止 PHP 执行。

⚡ **优先级**：**紧急**。 📈 **评分**：CVSS **9.8**（Critical），高危漏洞，建议**立即处理**。