CVE-2024-50493 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WordPress插件 **Automatic Translation** 存在 **任意文件上传** 漏洞。 💥 **后果**：攻击者可上传恶意文件，直接导致 **远程代码执行 (RCE)**，服务器彻底沦陷。

🔍 **根本原因**：**CWE-434**（任意文件上传）。 🐛 **缺陷点**：插件在 **1.0.4** 及以下版本中，**缺失文件类型验证**，未对上传文件进行安全过滤。

🎯 **受影响组件**：WordPress 插件 **Automatic Translation**。 📦 **风险版本**：版本 **≤ 1.0.4**。 🏢 **厂商**：masterhomepage。

🕵️ **黑客权限**：**未授权** 攻击者即可操作。 📂 **数据/控制**：可上传任意文件（如 Webshell），获取服务器 **完全控制权**，窃取或篡改所有网站数据。

🚪 **利用门槛**：**极低**。 🔑 **认证要求**：**无需登录** (Unauthenticated)。 ⚙️ **配置要求**：**无需用户交互** (UI:N)，攻击复杂度低 (AC:L)。

💻 **现成Exp**：**有**。 📜 **PoC来源**：GitHub 上已有公开 PoC (RandomRobbieBF/CVE-2024-50493)，提供 curl 命令示例，可直接复现。

🔎 **自查方法**： 1. 检查 WordPress 插件列表，确认是否安装 **Automatic Translation**。 2. 核对版本号是否 **≤ 1.0.4**。 3. 扫描器可检测是否存在未授权的文件上传接口。

🛡️ **官方修复**：数据中未提供具体补丁链接，但明确指出 **1.0.4 及之前版本** 存在漏洞。 ✅ **建议**：立即升级至 **最新安全版本**（需 > 1.0.4 且修复了验证逻辑）。

🚧 **临时规避**： 1. **立即停用** 该插件。 2. 若必须使用，配置 WAF 规则 **拦截** 可疑的文件上传请求。 3. 限制服务器上传目录的 **执行权限**。

⚡ **紧急程度**：**极高** (CVSS 9.8)。 🔥 **优先级**：**P0 紧急修复**。 💡 **见解**：未授权+任意上传=高危，建议 **立即行动**，防止被自动化脚本批量利用。