CVE-2024-49674 — 神龙十问 AI 深度分析摘要
CVSS 9.6 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:跨站请求伪造 (CSRF) 导致任意文件上传。 💥 **后果**:攻击者可上传 **Web Shell**,直接控制服务器。
Q2根本原因?(CWE/缺陷点)
🛡️ **CWE**:CWE-352 (跨站请求伪造)。 🔍 **缺陷**:缺乏 CSRF 令牌验证,诱导用户执行恶意请求。
Q3影响谁?(版本/组件)
📦 **组件**:WordPress 插件 EKC Tournament Manager。 👤 **厂商**:lukashuser。 📅 **版本**:2.2.1 及更早版本。
Q4黑客能干啥?(权限/数据)
🔓 **权限**:获得服务器 **完全控制权**。 📂 **数据**:可读取/篡改所有网站数据,植入后门。
Q5利用门槛高吗?(认证/配置)
⚡ **门槛**:低。 👥 **条件**:无需认证 (PR:N),但需用户交互 (UI:R)。 🌐 **网络**:远程利用 (AV:N)。
Q6有现成Exp吗?(PoC/在野利用)
📜 **Exp**:数据中 **无** 现成 PoC 列表。 🌍 **在野**:未提及具体在野利用情况,但风险极高。
Q7怎么自查?(特征/扫描)
🔍 **自查**:检查 WP 插件列表。 🔎 **特征**:确认是否安装 **EKC Tournament Manager** 且版本 ≤ 2.2.1。
Q8官方修了吗?(补丁/缓解)
🔧 **补丁**:官方已发布修复。 📌 **行动**:立即升级至 **最新版本** 以修复 CSRF 缺陷。
Q9没补丁咋办?(临时规避)
🚫 **规避**:若无补丁,禁用该插件。 🛡️ **防御**:实施严格的 **CSRF 防护** 策略,限制文件上传类型。
Q10急不急?(优先级建议)
🔥 **优先级**:**紧急**。 📊 **评分**:CVSS 9.8 (Critical)。 ⚠️ **建议**:立即修复,防止服务器被接管。