CVE-2024-8615 — 神龙十问 AI 深度分析摘要

🚨 **本质**：任意文件上传漏洞。<br>📉 **后果**：攻击者可上传恶意脚本，导致**服务器被完全控制**，数据泄露或网站被黑。

🔍 **CWE-434**：任意文件上传。<br>🐛 **缺陷点**：函数 `jobsearch_location_load_excel_file_callback()` **缺少文件类型验证**，未检查上传文件后缀或内容。

🏢 **厂商**：eyecix。<br>💻 **产品**：JobSearch WP Job Board (WordPress插件)。<br>📦 **版本**：**2.6.7 及之前版本**。

👑 **权限**：获得服务器最高权限（RCE）。<br>💾 **数据**：可读取/篡改数据库，植入后门。<br>⚠️ **CVSS**：满分风险，影响完整性、机密性和可用性。

🚪 **门槛低**。<br>🔓 **认证**：无需认证（PR:N）。<br>🌐 **网络**：远程利用（AV:N）。<br>👀 **交互**：无需用户交互（UI:N）。

📄 **PoC**：数据中未提供公开 PoC。<br>🌍 **在野**：暂无在野利用报告。<br>⚠️ **注意**：因无需认证，利用脚本极易编写。

🔎 **自查**：检查 WordPress 插件列表。<br>📋 **特征**：查找名为 **JobSearch WP Job Board** 的插件。<br>🔢 **版本**：确认版本号是否 **≤ 2.6.7**。

🛡️ **补丁**：数据未提及官方已发布修复版本。<br>📢 **建议**：参考官方 Codecanyon 页面或 Wordfence 威胁情报获取最新修复方案。

🚧 **临时规避**：<br>1. **禁用/卸载**该插件。<br>2. 限制上传目录执行权限。<br>3. 配置 WAF 拦截异常文件上传请求。

🔥 **优先级：极高**。<br>⚡ **理由**：CVSS 满分，无需登录即可远程利用，危害极大。<br>🏃 **行动**：立即升级或停用插件！