CVE-2024-8614 — 神龙十问 AI 深度分析摘要

🚨 **本质**：任意文件上传漏洞。 💥 **后果**：攻击者可上传恶意脚本，导致**服务器被控**、**数据泄露**或**网站篡改**。

🔍 **CWE**：CWE-434（任意文件上传）。 📍 **缺陷点**：`jobsearch_wp_handle_upload()` 函数**缺少文件类型验证**，未过滤危险后缀。

🏢 **厂商**：eyecix。 📦 **产品**：JobSearch WP Job Board (WordPress插件)。 📉 **版本**：**2.6.7 及之前版本**。

👑 **权限**：获得**服务器执行权限**（RCE）。 📂 **数据**：可读取/修改**网站核心文件**、**数据库**及**用户隐私数据**。

🔑 **门槛**：中等。 🛡️ **条件**：需**低权限认证**（PR:L），无需用户交互（UI:N），网络远程利用（AV:N）。

📜 **Exp**：数据中 **PoCs 为空**。 🌍 **在野**：暂无公开利用报告，但漏洞原理简单，**Exp 极易编写**。

🔎 **自查**：检查 WordPress 插件列表。 🔍 **特征**：确认是否安装 **JobSearch WP Job Board** 且版本 **≤ 2.6.7**。

🛠️ **补丁**：数据未提供具体补丁链接。 ✅ **建议**：立即联系厂商 **eyecix** 获取修复版本或升级至最新版。

🚧 **临时规避**： 1. **禁用上传功能**（若业务允许）。 2. 配置 WAF 拦截 **PHP/Shell** 后缀上传请求。 3. 限制上传目录**执行权限**。

⚡ **优先级**：**高**。 📅 **CVSS**：9.8 (Critical)。 🚀 **行动**：立即升级或隔离，防止被自动化脚本扫描利用。