CVE-2024-5871 — 神龙十问 AI 深度分析摘要

🚨 **本质**：PHP对象注入（反序列化漏洞）。 💥 **后果**：攻击者可删除任意文件、窃取敏感数据或执行恶意代码。

🔍 **CWE**：CWE-502（不受信任的反序列化）。 📍 **缺陷**：对**不受信任的输入**进行了直接反序列化，未做安全校验。

📦 **组件**：WordPress Plugin **WooCommerce - Social Login**。 🏢 **厂商**：WPWeb。 📉 **版本**：**2.6.2 及之前版本**。

🔓 **权限**：远程代码执行（RCE）。 📂 **数据**：可检索**敏感数据**。 🗑️ **操作**：可**删除任意文件**。

📶 **网络**：AV:N（网络远程利用）。 🔑 **认证**：PR:N（无需认证）。 👤 **用户交互**：UI:N（无需用户交互）。 ✅ **门槛**：**极低**，高危！

📜 **PoC**：漏洞数据中 **pocs 为空**。 🌍 **在野**：数据未提及在野利用情况。 ⚠️ **注意**：CVSS评分极高，需警惕潜在利用。

🔎 **检测**：扫描 WordPress 插件列表。 📋 **特征**：检查是否安装 **WooCommerce - Social Login**。 📌 **版本**：确认版本是否 **≤ 2.6.2**。

🛠️ **补丁**：数据未提供具体补丁链接。 📢 **建议**：参考 WordFence 威胁情报链接获取官方修复指引。 🔄 **动作**：立即联系厂商 WPWeb 获取更新。

🛡️ **规避**：若无法升级，建议**暂时禁用**该插件。 🚫 **限制**：限制插件目录写入权限。 🔒 **WAF**：配置 WAF 拦截异常的反序列化请求特征。

🔥 **优先级**：**紧急**。 📊 **CVSS**：**9.8**（Critical）。 💡 **见解**：无需认证即可远程利用，危害极大，建议**立即修复**。