CVE-2024-52406 — 神龙十问 AI 深度分析摘要

🚨 **本质**：CSV to html 插件存在**不受限制的文件上传**漏洞。 💥 **后果**：攻击者可上传恶意文件，导致**服务器被完全控制**（代码执行）。

🔍 **CWE**：CWE-434（不受限制的文件上传）。 🐛 **缺陷**：插件未对上传文件的**类型或内容**进行有效校验，允许任意文件上传。

🎯 **组件**：WordPress Plugin **CSV to html**。 📦 **版本**：**3.04 版本及之前**的所有版本均受影响。

👮 **权限**：攻击者可获得**服务器端代码执行权限**。 📂 **数据**：可读取/修改任意文件，窃取敏感数据，甚至植入后门。

⚠️ **门槛**：中等。 🔑 **条件**：需要**低权限认证**（PR:L），即需要登录 WordPress 后台或拥有较低权限的账户即可利用。

📄 **Exp**：当前公开数据中**暂无现成 PoC**（pocs 为空）。 🌍 **在野**：暂无明确在野利用报告，但风险极高，需警惕。

🔎 **自查**：检查 WordPress 插件列表，确认是否安装 **CSV to html**。 📋 **版本**：核对版本号是否 **≤ 3.04**。

🛠️ **补丁**：官方已发布修复建议。 🔗 **来源**：参考 Patchstack 提供的漏洞详情页面，建议升级至安全版本。

🚫 **规避**：若无法立即升级，建议**暂时禁用或删除**该插件。 🛡️ **限制**：严格限制上传目录权限，禁止执行 PHP 脚本。

🔥 **优先级**：**高**。 💡 **建议**：CVSS 评分极高（H/H/H），虽需认证，但后果严重，建议**立即排查并修复**。