CVE-2024-52373 — 神龙十问 AI 深度分析摘要

🚨 **本质**：任意文件上传漏洞。允许攻击者上传危险类型文件。 💥 **后果**：服务器被完全控制，数据泄露，网站被篡改。

🔍 **CWE**：CWE-434（任意文件上传）。 🐛 **缺陷**：缺乏对上传文件的类型和扩展名校验，未限制危险文件。

🎯 **组件**：WordPress 插件 Devexhub Gallery。 📦 **版本**：2.0.1 及之前所有版本。

👮 **权限**：远程无需认证（PR:N）。 📂 **数据**：可执行任意代码（RCE），读取/修改服务器所有数据。

📉 **门槛**：极低。 ⚙️ **配置**：无需登录，无需用户交互，直接通过网络利用。

📜 **Exp**：官方未提供公开 PoC。 🌍 **在野**：暂无明确在野利用报告，但风险极高。

🔎 **自查**：检查 WordPress 插件列表，确认是否安装 Devexhub Gallery。 📊 **版本**：核对版本号是否 ≤ 2.0.1。

🛡️ **补丁**：官方已发布修复建议（参考 Patchstack 链接）。 ✅ **状态**：需升级至修复后的安全版本。

⚠️ **规避**：立即禁用或卸载该插件。 🚫 **限制**：若必须使用，严格限制上传目录权限，禁用 PHP 执行。

🔥 **优先级**：紧急（CVSS 9.8）。 🚀 **行动**：立即升级或移除插件，防止服务器沦陷。