CVE-2024-5147 — 神龙十问 AI 深度分析摘要

🚨 **本质**：本地文件包含 (LFI) 漏洞。 💥 **后果**：攻击者可读取服务器敏感文件，甚至可能执行任意代码，导致网站完全沦陷。

🔍 **CWE**：CWE-22 (路径遍历/目录穿越)。 🐛 **缺陷点**：插件未对用户输入进行严格校验，导致恶意路径被包含执行。

📦 **组件**：WPZOOM Addons for Elementor。 📉 **版本**：1.1.37 及之前所有版本均受影响。

👮 **权限**：无需认证 (PR:N)。 📂 **数据**：可读取任意本地文件 (C:H)，可篡改内容 (I:H)，可拒绝服务 (A:H)。

📶 **门槛**：极低。 🔓 **条件**：网络访问 (AV:N)，攻击复杂度低 (AC:L)，无需用户交互 (UI:N)。

🧪 **PoC**：数据中未提供现成 Exploit。 🌍 **在野**：暂无明确在野利用报告，但 CVSS 评分极高，风险巨大。

🔎 **自查**：检查 WordPress 后台插件列表。 👀 **特征**：确认是否安装 WPZOOM Addons，且版本号 ≤ 1.1.37。

🛠️ **补丁**：官方已发布修复版本 (参考 Changeset 3090236)。 ✅ **建议**：立即升级至最新版本以修复 LFI 漏洞。

🛡️ **规避**：若无补丁，需严格限制插件功能。 🚫 **措施**：暂时禁用该插件，或配置 WAF 拦截包含特殊字符 (../) 的请求。

⚡ **优先级**：紧急 (Critical)。 🔥 **理由**：CVSS 9.8 分，无认证即可利用，直接威胁服务器安全，必须立即处理。