CVE-2024-50494 — 神龙十问 AI 深度分析摘要

🚨 **本质**：任意文件上传漏洞（CWE-434）。 💥 **后果**：攻击者可上传恶意脚本，导致**服务器被完全控制**，数据泄露或网站被篡改。

🔍 **缺陷点**：未对上传文件的**类型**进行严格限制。 📉 **CWE**：CWE-434（任意文件上传）。允许危险类型文件无限制上传。

🎯 **受影响组件**：WordPress 插件 **Sudan Payment Gateway for WooCommerce**。 📦 **版本**：**1.2.2 及之前版本**。

👮 **权限**：获得**服务器端代码执行权限**。 📂 **数据**：可读取敏感数据、植入 Webshell、控制整个 WordPress 站点。

📶 **门槛**：**极低**。 🔓 **认证**：无需认证（PR:N）。 🌐 **网络**：远程利用（AV:N）。 🎯 **复杂度**：低（AC:L）。

🧪 **Exp/PoC**：数据中未提供现成 PoC。 🌍 **在野利用**：暂无明确在野利用报告，但 CVSS 评分极高，风险巨大。

🔎 **自查特征**：检查 WordPress 插件目录是否存在 `wc-sudan-payment-gateway`。 📋 **版本核对**：确认插件版本是否 ≤ 1.2.2。 🛠 **工具**：使用 Patchstack 或 WPScan 扫描插件版本。

🛡️ **补丁状态**：数据未提供具体补丁链接。 ⚠️ **建议**：参考 Patchstack 官方链接获取最新修复方案或联系开发者 Amin Omer。

🚧 **临时规避**： 1. **立即停用**该插件。 2. 若必须使用，限制上传目录权限，禁止 PHP 执行。 3. 加强 WAF 规则，拦截恶意文件上传请求。

🔥 **优先级**：**紧急**。 📊 **CVSS**：**9.8**（Critical）。 💡 **建议**：立即升级或禁用插件，防止服务器沦陷。