CVE-2024-50496 — 神龙十问 AI 深度分析摘要

🚨 **本质**：任意文件上传漏洞。黑客可上传恶意文件。后果：网站被控、数据泄露、服务中断。

🔍 **CWE-434**：不受限制的文件上传。缺陷点：未校验文件类型，允许上传危险文件。

🎯 **受影响**：WordPress 插件 **AR For WordPress**。版本：**6.2 及之前**所有版本。

💀 **黑客权限**：完全控制服务器（S:C）。可读取敏感数据（C:H）、篡改内容（I:H）、破坏服务（A:H）。

⚡ **门槛极低**：无需认证（PR:N）。无需用户交互（UI:N）。网络远程即可利用（AV:N）。

📦 **无现成Exp**：数据中未提供 PoC。但漏洞描述清晰，利用难度低，在野利用风险高。

🔎 **自查方法**：检查插件版本是否 ≤6.2。扫描是否允许上传非白名单文件类型。

🛡️ **官方修复**：建议升级至 **6.2 之后**版本。参考 Patchstack 链接获取最新补丁信息。

🚧 **临时规避**：若无法升级，禁用该插件。严格限制上传目录执行权限。配置 WAF 拦截恶意上传。

🔥 **优先级：极高**。CVSS 9.8 分。远程无需认证即可 RCE。建议 **立即** 升级或停用插件。