CVE-2024-50529 — 神龙十问 AI 深度分析摘要

🚨 **本质**：任意文件上传漏洞。允许攻击者上传危险文件。 💥 **后果**：服务器被完全控制，数据泄露或网站被篡改。

🔍 **CWE**：CWE-434（任意文件上传）。 🐛 **缺陷**：代码未严格校验上传文件的类型，导致危险文件（如Webshell）可被上传。

🎯 **组件**：WordPress 插件 **Training – Courses**。 📦 **版本**：**2.0.1** 及之前所有版本。

🕵️ **权限**：获得服务器 **High** 级别权限（CVSS A:H）。 📂 **数据**：可读取/修改所有敏感数据（CVSS C:H/I:H），甚至接管整个站点。

🔑 **门槛**：**中等**。 ⚙️ **条件**：需要 **Low** 权限认证（PR:L），无需用户交互（UI:N）。

📜 **Exp**：数据中 **无** 现成 PoC 或公开在野利用记录。 🛡️ **现状**：目前主要依赖厂商修复，暂无大规模自动化攻击迹象。

🔎 **自查**：检查 WordPress 插件列表。 📋 **特征**：确认是否安装 **Training – Courses** 且版本 **≤ 2.0.1**。

🛠️ **修复**：官方已发布修复方案。 📌 **动作**：请升级至 **2.0.2** 或更高版本（参考 Patchstack 链接）。

⚠️ **临时规避**：若无法升级，请 **禁用** 该插件。 🚫 **限制**：严格限制上传目录权限，禁止执行 PHP 脚本。

🔥 **优先级**：**高**。 🚀 **建议**：CVSS 评分极高（10.0/10.0 级别），建议 **立即** 升级或停用，防止服务器沦陷。