CVE-2024-7856 — 神龙十问 AI 深度分析摘要

🚨 **本质**：任意文件删除漏洞。 💥 **后果**：攻击者可删除服务器上的任意文件，导致服务中断或数据丢失。

🔍 **CWE**：CWE-862（缺失授权）。 🐛 **缺陷**：`removeTempFiles` 函数缺少功能检查，且对 `file` 参数路径验证不足。

📦 **组件**：MP3 Audio Player – Music Player, Podcast Player & Radio。 🏷️ **厂商**：Sonaar。 📉 **版本**：5.7.0.1 及之前版本。

🗑️ **能力**：未经授权的**任意文件删除**。 📂 **范围**：可删除服务器文件系统上的任意文件（非仅插件目录）。

🔑 **门槛**：低。 ✅ **权限**：需要**已认证**用户（Subscriber+ 级别即可）。 🌐 **网络**：无需本地访问，网络远程利用。

💻 **PoC**：有现成代码。 🔗 **来源**：GitHub (Arkadiusz Hydzik)。 📝 **描述**：Proof-of-Concept for Arbitrary File deletion。

🔎 **自查**：检查 WordPress 插件列表。 👀 **特征**：查看是否安装 **Sonaar MP3 Audio Player** 且版本 **≤ 5.7.0.1**。

🛡️ **修复**：官方已发布修复。 📌 **动作**：升级插件至修复版本（参考 Trac changeset 3142445）。

⚠️ **规避**：若无补丁，建议**立即停用**该插件。 🚫 **限制**：确保未登录用户无法触发，但鉴于低权限即可利用，停用最安全。

🔥 **优先级**：高。 📊 **CVSS**：H/I:H/A:H (高机密性/高完整性/高可用性影响)。 ⚡ **建议**：尽快更新，防止文件被恶意删除。