CVE-2024-51789 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WordPress插件 **Image Classify** 存在 **危险类型文件上传不受限制** 漏洞。 💥 **后果**：攻击者可上传恶意文件，导致 **服务器被完全控制**（CVSS评分极高，C/I/A均为H）。

🔍 **CWE**：**CWE-434**（不受限制的文件上传）。 🐛 **缺陷点**：插件未对上传文件的 **类型** 进行严格校验，允许上传可执行脚本（如PHP）。

🎯 **受影响组件**：**Image Classify** 插件。 📦 **版本范围**：**1.0.0 版本及之前版本**。 🏢 **厂商**：UjW0L。

🕵️ **黑客权限**：获得 **服务器端代码执行** 权限。 📂 **数据风险**：可读取/篡改网站数据，植入 **Webshell**，甚至横向移动攻击内网。

🚪 **利用门槛**：**极低**。 🔑 **认证要求**：**无需认证**（PR:N）。 🌐 **访问方式**：**远程**（AV:N）且 **攻击复杂度低**（AC:L）。

📜 **PoC状态**：漏洞数据中 **pocs 为空**，暂无公开现成Exploit。 🌍 **在野利用**：数据未提及在野利用，但鉴于CVSS满分潜力，需高度警惕。

🔎 **自查特征**：检查WordPress后台是否安装 **Image Classify** 插件。 📋 **版本核对**：确认插件版本是否 **≤ 1.0.0**。 🛠️ **扫描建议**：使用WAF或漏洞扫描器检测 **文件上传接口** 的异常行为。

🛡️ **官方修复**：数据未提供具体补丁链接或版本号。 ⚠️ **建议**：参考 Patchstack 链接（references）获取最新修复指引，通常需 **升级至修复版本**。

🚧 **临时规避**： 1. **立即停用**并 **删除** Image Classify 插件。 2. 若必须使用，配置服务器 **禁止上传目录执行PHP**。 3. 严格限制 **文件上传类型白名单**。

🔥 **优先级**：**紧急**（Critical）。 📉 **风险等级**：CVSS 3.1 向量显示 **C:H/I:H/A:H**，意味着机密性、完整性、可用性均受高影响。 ✅ **行动**：建议 **立即** 采取缓解措施。