CVE-2024-9108 — 神龙十问 AI 深度分析摘要

🚨 **本质**：代码逻辑缺陷，文件类型验证不足。 💥 **后果**：导致**任意文件上传**，攻击者可上传恶意脚本，完全控制站点。

🔍 **CWE**：CWE-434 (不受限制的文件上传)。 📍 **缺陷点**：`convert_remoteimage_to_local` 函数未严格校验文件类型，绕过安全限制。

🎯 **组件**：WordPress 插件 **Wechat Social login** (微信QQ钉钉登录插件)。 📦 **版本**：版本 **1.3.0** 及之前所有版本均受影响。

👮 **权限**：无需认证 (PR:N)，远程直接利用。 📂 **数据**：可上传 Webshell，获取服务器**最高权限**，窃取数据库及用户数据。

🚪 **门槛**：**极低**。 ⚙️ **配置**：CVSS 显示无需认证 (PR:N)、无需用户交互 (UI:N)，远程攻击者可直接触发。

📜 **Exp**：官方数据中 **PoCs 列表为空**。 🌍 **在野**：暂无公开在野利用报告，但漏洞原理简单，Exp 极易编写。

🔎 **自查**：检查 WordPress 插件列表。 🔍 **特征**：确认是否安装 **Wechat Social login** 且版本 **≤ 1.3.0**。

🛠️ **补丁**：数据未提供具体补丁链接。 ✅ **缓解**：需联系厂商 **xunhuweb** 获取修复版本或手动修补 `class-xh-social-wp-api.php` 中的验证逻辑。

🚧 **临时规避**： 1. **立即停用**该插件。 2. 若必须用，手动修改代码，增加严格的**文件扩展名白名单**校验。 3. 限制上传目录执行权限。

🔥 **优先级**：**紧急**。 ⚠️ **建议**：CVSS 评分极高 (H/H/H)，且无需认证。建议**立即升级**或停用插件，防止被自动化扫描攻击。