CVE-2024-50530 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Stars SMTP Mailer 插件存在**任意文件上传**漏洞。 🔥 **后果**：攻击者可上传恶意脚本，导致**服务器被完全控制**，数据泄露或网站被篡改。

🔍 **CWE**：CWE-434（不受限制的文件上传）。 🐛 **缺陷**：插件未对上传文件的**类型**进行严格校验，允许上传危险文件。

📦 **组件**：WordPress 插件 **Stars SMTP Mailer**。 📅 **版本**：**1.7 版本及之前**的所有版本均受影响。

💀 **权限**：获得**服务器端代码执行**权限。 📂 **数据**：可读取敏感配置、数据库凭证，甚至植入后门维持持久化访问。

🔑 **门槛**：**中等**。 ⚙️ **条件**：需要**低权限认证**（PR:L），即拥有 WordPress 后台登录账号即可利用。

🧪 **Exp**：数据中未提供公开 PoC 或**在野利用**报告。 ⚠️ **注意**：虽无公开 Exp，但漏洞原理简单，利用风险极高。

🔎 **自查**：检查 WordPress 后台已安装插件列表。 📋 **特征**：确认是否安装 **Stars SMTP Mailer** 且版本 **≤ 1.7**。

🛡️ **修复**：官方已发布修复建议。 🔄 **行动**：请立即升级至**最新版本**（1.8+），或暂时禁用该插件。

🚧 **临时规避**：若无补丁可用，建议**立即禁用**该插件。 🔒 **限制**：严格限制上传目录权限，禁止执行 PHP 脚本。

⚡ **优先级**：**紧急 (Critical)**。 📉 **CVSS**：9.8 分（高危）。 🏃 **建议**：鉴于 CVSS 满分附近且利用门槛低，建议**立即处置**。