CVE-2024-8672 — 神龙十问 AI 深度分析摘要

🚨 **本质**：代码注入漏洞（CWE-94）。<br>🔥 **后果**：远程代码执行 (RCE)。攻击者可注入恶意 PHP 代码，直接控制服务器。

🔍 **缺陷点**：`widgetopts_safe_eval()` 函数。<br>⚠️ **原因**：直接评估用户输入的 `logic` 功能数据，未做严格过滤，导致代码被执行。

📦 **产品**：Widget Options – Advanced Conditional Visibility。<br>📉 **版本**：4.0.7 及更早版本。

💀 **权限**：需 **Contributor** (贡献者) 或更高权限。<br>📂 **数据**：完全控制服务器，可窃取数据、植入后门、篡改网站内容。

🔑 **门槛**：中等。<br>✅ **要求**：需要 **认证** (Authenticated)。<br>👤 **角色**：普通访客无法利用，需拥有 Contributor 及以上账号。

📜 **PoC**：有现成代码。<br>🔗 **来源**：GitHub (Chocapikk/CVE-2024-8672)。<br>⚠️ **状态**：公开可用，利用难度低。

🔎 **自查**：<br>1. 检查 WP 插件列表，确认是否安装 Widget Options。<br>2. 核对版本号是否 ≤ 4.0.7。<br>3. 扫描是否存在 `widgetopts_safe_eval` 相关调用。

🛡️ **修复**：官方已发布修复版本。<br>📢 **建议**：立即升级至最新版本，或参考 WordPress Trac 变更集进行修补。

🚧 **临时规避**：<br>1. **禁用/卸载**该插件。<br>2. 限制 **Contributor** 及以上用户的权限。<br>3. 配置 WAF 拦截包含 `eval` 或恶意 PHP 代码的请求。

🔥 **优先级**：**高**。<br>⚡ **理由**：CVSS 评分高 (AV:N/AC:L)，且存在公开 PoC。虽然需认证，但 Contributor 权限较易获取，风险极大，需立即处理。