CVE-2024-51790 — 神龙十问 AI 深度分析摘要

🚨 **本质**：HB AUDIO GALLERY 插件存在**危险类型文件上传不受限制**漏洞。 💥 **后果**：攻击者可上传恶意文件，导致**服务器被完全控制**，数据泄露或篡改风险极高。

🔍 **CWE ID**：**CWE-434**（不受限制的文件上传）。 🐛 **缺陷点**：插件未对上传文件的**类型**进行严格校验，允许上传可执行脚本（如 PHP）。

🎯 **受影响组件**：**HB AUDIO GALLERY** 插件。 📦 **版本范围**：**3.0 版本及之前版本**。 🏢 **厂商**：HB WEBSOL。

👮 **权限**：攻击者可获得**服务器端代码执行权限**。 📂 **数据**：可读取、修改或删除网站所有**敏感数据**，甚至植入后门。

🚪 **利用门槛**：**极低**。 🔑 **认证**：**无需认证**（PR:N）。 🌐 **网络**：**远程**利用（AV:N）。 🎭 **交互**：**无需用户交互**（UI:N）。

📜 **Exp/PoC**：当前数据中 **pocs 为空**，暂无公开现成 Exp。 ⚠️ **在野利用**：数据未提及，但鉴于 CVSS 评分极高，需警惕潜在利用。

🔎 **自查方法**：检查 WordPress 后台插件列表。 ✅ **特征**：确认是否安装 **HB AUDIO GALLERY** 且版本 **≤ 3.0**。 🛠️ **工具**：使用 Patchstack 或 WPScan 扫描插件版本。

🛡️ **官方修复**：数据中未提供具体补丁链接或版本号。 📌 **建议**：参考 Patchstack 提供的 **vdb-entry** 链接获取最新修复方案或联系厂商。

🚧 **临时规避**： 1. **立即停用**并卸载该插件。 2. 若必须使用，限制上传目录执行权限（如禁用 PHP 执行）。 3. 加强 Web 应用防火墙（WAF）规则，拦截恶意文件上传请求。

🔥 **优先级**：**紧急**。 📊 **CVSS 评分**：**9.8**（Critical）。 💡 **建议**：立即升级或移除插件，防止服务器沦陷。