CVE-2024-50420 — 神龙十问 AI 深度分析摘要

🚨 **本质**：任意文件上传漏洞。允许攻击者上传恶意文件。 💥 **后果**：服务器被完全控制，数据泄露，网站沦陷。

🔍 **CWE**：CWE-434（任意文件上传）。 🐛 **缺陷**：未对上传文件的类型进行严格限制，允许上传危险类型文件。

🎯 **厂商**：aDirectory。 📦 **产品**：WordPress Plugin aDirectory。 📅 **版本**：1.3 版本及之前所有版本。

👑 **权限**：获取服务器最高权限（Webshell）。 📂 **数据**：读取/修改/删除所有网站数据，植入后门。

📉 **门槛**：极低。 🔓 **认证**：无需认证（PR:N）。 🌐 **网络**：远程利用（AV:N）。 ⚡ **复杂度**：低（AC:L）。

📜 **PoC**：数据中未提供公开 PoC 代码。 🌍 **在野**：暂无明确在野利用报告，但风险极高。

🔎 **自查**：检查 WordPress 后台插件列表。 📋 **特征**：确认是否安装 'aDirectory' 插件且版本 ≤ 1.3。

🛡️ **补丁**：数据未提及具体补丁版本。 ✅ **建议**：立即联系官方或查看 Patchstack 链接获取最新修复版。

🚧 **临时规避**： 1️⃣ **禁用/卸载**该插件。 2️⃣ **限制上传目录**执行权限。 3️⃣ **WAF 拦截**文件上传请求。

🔥 **优先级**：P0（紧急）。 💡 **理由**：CVSS 满分风险（C:H/I:H/A:H），无需认证即可远程利用，必须立即处置。