CVE-2024-52400 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WordPress插件 **Gallerio** 存在**不受限制的文件上传**漏洞。 💥 **后果**：攻击者可上传恶意脚本，导致**服务器被完全控制**，数据泄露或网站被篡改。

🔍 **CWE**：**CWE-434**（不受限制的文件上传）。 🛠️ **缺陷点**：插件未对上传文件的**类型、内容或路径**进行有效校验，允许上传任意文件。

🎯 **受影响产品**：**Gallerio** WordPress 插件。 📦 **版本**：**1.01 版本及之前**的所有版本。

👮 **权限**：攻击者可获得**服务器级权限**（Web Shell）。 📂 **数据**：可读取敏感数据、植入后门、篡改网站内容，甚至横向移动攻击内网。

🔑 **门槛**：**中等**。 📝 **要求**：需要**低权限认证**（PR:L），即需要拥有WordPress后台的**普通用户权限**即可利用。

📜 **Exp/PoC**：当前漏洞库中**暂无公开**的现成Exploit或PoC代码。 🌍 **在野利用**：暂无明确证据表明已在野广泛利用。

🔎 **自查方法**： 1. 检查WordPress后台是否安装 **Gallerio** 插件。 2. 确认插件版本是否 **≤ 1.01**。 3. 扫描上传接口是否缺乏严格的文件类型白名单校验。

🛡️ **补丁状态**：官方已发布安全通告。 ✅ **修复建议**：立即升级 Gallerio 插件至**最新版本**（>1.01）。

⚠️ **临时规避**： 1. **禁用**或**卸载**该插件。 2. 若必须使用，严格限制**上传目录执行权限**，并配置WAF拦截恶意文件上传请求。

🔥 **优先级**：**高**。 💡 **理由**：CVSS评分极高（**9.8**），利用条件简单（仅需低权限），后果严重（完全控制）。建议**立即修复**。