CVE-2024-56045 — 神龙十问 AI 深度分析摘要
CVSS 9.3 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:WPLMS 插件存在**路径遍历漏洞**。 🔥 **后果**:攻击者可进行**任意目录删除**,导致服务不可用或数据丢失。
Q2根本原因?(CWE/缺陷点)
🛡️ **CWE-35**:路径遍历缺陷。 🔍 **缺陷点**:未正确验证用户输入的文件/目录路径,导致访问受限资源。
Q3影响谁?(版本/组件)
📦 **组件**:WordPress 插件 **WPLMS**。 🏢 **厂商**:VibeThemes。 ⚠️ **版本**:**1.9.9.5 之前**的所有版本均受影响。
Q4黑客能干啥?(权限/数据)
💀 **权限**:**未授权**(Unauthenticated)。 📂 **数据**:可执行**任意目录删除**操作。 📉 **影响**:高可用性影响(A:H),低完整性影响(I:L)。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:**极低**。 🔑 **认证**:**无需认证**(PR:N)。 🌐 **网络**:网络可访问即可利用(AV:N)。 👤 **交互**:无需用户交互(UI:N)。
Q6有现成Exp吗?(PoC/在野利用)
📜 **PoC**:数据中未提供具体 PoC 代码。 🌍 **在野**:暂无明确在野利用报告。 🔗 **参考**:Patchstack 已收录漏洞详情。
Q7怎么自查?(特征/扫描)
🔍 **自查**:检查 WordPress 后台插件列表。 📊 **版本**:确认 WPLMS 版本是否 **< 1.9.9.5**。 🛠️ **工具**:使用 WPScan 或 Patchstack 数据库扫描。
Q8官方修了吗?(补丁/缓解)
🛠️ **补丁**:官方已发布修复版本。 ✅ **建议**:立即升级至 **1.9.9.5 或更高版本**。 📖 **详情**:参考 Patchstack 官方链接获取更新说明。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**: 1️⃣ **限制访问**:通过防火墙限制插件相关接口。 2️⃣ **权限控制**:确保 Web 服务器用户对关键目录无删除权限。 3️⃣ **监控**:监控异常的文件删除操作日志。
Q10急不急?(优先级建议)
🔥 **优先级**:**高**。 ⚡ **理由**:**未授权** + **无需交互** + **高可用性影响**。 🚀 **行动**:建议 **立即修复**,防止服务被恶意破坏。