CVE-2024-50495 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WordPress插件 **Plugin Propagator** 存在 **不受限制的文件上传漏洞**。💥 **后果**：攻击者可上传任意文件，直接导致 **服务器被完全控制**（CVSS评分极高，C:H/I:H/A:H）。

🔍 **CWE**：**CWE-434**（不受限制的文件上传）。🐛 **缺陷点**：插件未对上传文件进行有效的 **类型检查** 或 **路径验证**，允许恶意文件（如Webshell）进入系统。

🎯 **受影响组件**：**Plugin Propagator** 插件。📦 **版本范围**：**0.1版本及之前版本**（即所有 <= 0.1 的版本）。🏢 **厂商**：nunomorgadinho。

🕵️ **黑客能力**：上传 **Webshell** 或恶意脚本。🔓 **权限**：获得 **服务器执行权限**。📂 **数据**：可读取、修改、删除网站数据，甚至横向渗透内网。

🚪 **利用门槛**：**极低**。📝 **认证**：**PR:N**（无需认证）。🖱️ **交互**：**UI:N**（无需用户交互）。🌐 **网络**：**AV:N**（网络远程利用）。AC:L（攻击复杂度低）。

📦 **Exp/PoC**：当前数据中 **pocs 为空**。🚫 **在野利用**：暂无明确在野利用报告。⚠️ **注意**：虽无公开Exp，但漏洞本质简单，极易编写利用代码。

🔎 **自查特征**：检查WordPress后台是否安装 **Plugin Propagator**。📋 **版本核对**：确认版本是否为 **0.1或更低**。🛠️ **扫描**：使用WAF或漏洞扫描器检测 **文件上传接口** 的异常行为。

🛡️ **官方修复**：数据中未提供具体补丁链接。💡 **建议**：参考 **Patchstack** 提供的修复建议（见References），通常需 **升级插件** 至修复版本或联系厂商。

🚧 **临时规避**：1. **禁用/卸载** 该插件。2. 配置 **WAF规则** 拦截可疑文件上传请求。3. 限制上传目录的 **执行权限**。

🔥 **优先级**：**紧急**。📈 **CVSS**：**9.8**（Critical）。⚡ **理由**：无需认证、远程利用、影响完整性/可用性/机密性。建议 **立即** 处置。