CVE-2024-51788 — 神龙十问 AI 深度分析摘要

🚨 **本质**：文件上传不受限。 💥 **后果**：攻击者可上传恶意 Webshell，直接导致 **远程代码执行 (RCE)**，服务器彻底沦陷。

🔍 **CWE**：CWE-434（不受限制的文件上传）。 📉 **缺陷**：插件未对上传文件的类型或内容进行严格校验，允许危险文件类型进入系统。

🎯 **组件**：WordPress 插件 **The Novel Design Store Directory**。 📦 **版本**：**4.3.0 及之前**的所有版本均受影响。

👑 **权限**：获得服务器 **最高权限**（Webshell 执行权限）。 📂 **数据**：可读取/篡改所有网站数据、数据库信息，甚至横向渗透内网。

🚪 **门槛**：**极低**。 🔓 **认证**：**无需登录**（Unauthenticated），任何互联网用户均可直接发起攻击。

💻 **Exp**：**有现成 PoC**。 🔗 参考 GitHub 链接：`https://github.com/Nxploited/CVE-2024-51788`，攻击者可直接利用。

🔎 **自查**：检查 WordPress 插件列表。 📋 **特征**：若存在 **The Novel Design Store Directory** 且版本 **≤ 4.3.0**，即存在高危风险。

🛡️ **补丁**：数据未提供具体补丁链接。 ✅ **建议**：立即联系开发者 Joshua Wolfe 或访问 Patchstack 查看最新修复版本。

⚠️ **临时规避**： 1. **禁用/卸载**该插件。 2. 若必须使用，通过 WAF 拦截 `/wp-content/uploads/` 下的 PHP 执行请求。 3. 限制上传目录权限。

🔥 **优先级**：**P0 - 紧急**。 📊 **CVSS**：**10.0 (Critical)**。无需认证即可 RCE，建议 **立即修复**，否则服务器随时可能被控。