CVE-2024-52490 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WordPress插件 Pathomation 存在**不受限制的文件上传**漏洞。 💥 **后果**：攻击者可上传恶意文件，导致**服务器被完全控制**，数据泄露或网站被篡改。

🔍 **CWE**：CWE-434（**不受限制的文件上传**）。 🐛 **缺陷点**：插件未对上传文件的**类型**进行严格校验，允许上传危险文件。

📦 **受影响组件**：WordPress Plugin **Pathomation**。 📅 **版本范围**：**2.5.1 版本及之前**的所有版本。

👮 **权限**：无需认证（**PR:N**），远程即可利用。 📊 **数据/影响**：高机密性（**C:H**）、高完整性（**I:H**）、高可用性（**A:H**）影响，即**完全控制**。

🚪 **利用门槛**：**极低**。 📝 **条件**：攻击向量网络（**AV:N**），攻击复杂度低（**AC:L**），无需用户交互（**UI:N**）。

📜 **PoC/Exp**：根据提供的数据，**暂无**公开的 PoC 或详细的在野利用记录（pocs 列表为空）。 ⚠️ **注意**：虽无公开代码，但漏洞原理简单，利用风险极高。

🔎 **自查方法**： 1. 检查 WordPress 后台已安装插件。 2. 确认 **Pathomation** 插件版本是否 **≤ 2.5.1**。 3. 扫描网站是否存在异常的可执行文件上传入口。

🛡️ **官方修复**：数据中未提供具体的补丁版本号或修复链接。 💡 **建议**：请立即联系插件开发者 **Pathomation** 获取最新安全版本或更新说明。

🚧 **临时规避**： 1. **禁用**或**卸载** Pathomation 插件。 2. 若必须使用，严格限制上传目录的**执行权限**。 3. 配置 WAF 拦截恶意文件上传请求。

🔥 **优先级**：**紧急**。 📈 **CVSS**：向量显示为**高危**（C:H/I:H/A:H），且无需认证即可远程利用，建议**立即**采取行动。