CVE-2024-50480 — 神龙十问 AI 深度分析摘要

🚨 **本质**：任意文件上传漏洞。 💥 **后果**：攻击者可上传恶意脚本，直接导致**服务器被控**、**数据泄露**或**网站篡改**。

🔍 **CWE-434**：任意文件上传。 🐛 **缺陷点**：插件未对上传文件的**类型**和**内容**进行严格校验，允许上传危险文件（如PHP）。

🎯 **组件**：WordPress 插件 Marketing Automation by AZEXO。 📉 **版本**：**1.27.80** 及之前所有版本。

🔓 **权限**：获得服务器**最高权限**（Web Shell）。 💾 **数据**：可读取/修改数据库、窃取用户信息、植入后门。

⚠️ **门槛**：中等。 🔑 **条件**：需要**低权限认证**（PR:L），普通注册用户即可利用，无需管理员权限。

📦 **Exp**：暂无公开 PoC 或**在野利用**报告。 🔎 **现状**：目前仅存在于漏洞数据库中，需关注后续动态。

🔎 **自查**：检查 WP 插件列表，确认是否安装 **AZEXO Marketing Automation**。 📋 **版本**：核对版本号是否 **≤ 1.27.80**。

🛡️ **修复**：官方已发布补丁。 ✅ **动作**：立即升级至**最新版本**，或联系 AZEXO 获取修复版。

🚧 **临时规避**：若无法升级，建议**立即禁用/卸载**该插件。 🔒 **限制**：在服务器层面限制上传目录的执行权限（如禁止 PHP 执行）。

🔥 **优先级**：**高危**（CVSS 9.8）。 ⏱️ **建议**：**紧急修复**。虽需认证，但利用成本低，危害极大，建议 24 小时内处理。