CVE-2024-9307 — 神龙十问 AI 深度分析摘要

🚨 **本质**：mFolio Lite 插件存在代码缺陷，缺少必要的功能检查。 💥 **后果**：攻击者可在页面中注入任意 Web 脚本，导致 XSS 攻击。

🔍 **CWE**：CWE-434（不受限制的不安全上传/执行，此处体现为代码逻辑缺陷）。 🐛 **缺陷点**：代码中**缺少功能检查**，导致输入或逻辑未被正确验证。

📦 **组件**：WordPress 插件 mFolio Lite。 🏢 **厂商**：themelooks。 📌 **版本**：1.2.1 及之前所有版本。

🕵️ **权限**：无需管理员权限（仅需低权限或无权限即可触发，视具体上下文，但CVSS显示PR:L即低权限）。 📊 **数据**：可窃取 Cookie、会话令牌，或劫持用户操作，造成**高机密性/完整性/可用性**损失。

🚪 **门槛**：中等。 🔑 **认证**：需要 **L (Low)** 权限，即攻击者需具备低级别账户权限。 🖱️ **交互**：无需用户交互 (UI:N)。

📜 **Exp**：数据中 **pocs 为空**，暂无公开 PoC。 🌍 **在野**：未提及在野利用情况，但 CVSS 分数高，需警惕。

🔎 **自查**：检查 WordPress 后台插件列表。 📏 **特征**：确认是否安装 **mFolio Lite** 且版本 **≤ 1.2.1**。

🛡️ **补丁**：官方已发布修复（参考 WordPress Trac changeset 3195835）。 ✅ **动作**：升级至最新版本即可修复。

⚠️ **规避**：若无法立即升级，建议**暂时禁用**该插件。 🔒 **限制**：严格控制谁能访问受影响的页面，减少暴露面。

🔥 **优先级**：**高**。 📈 **理由**：CVSS 3.1 分数极高（完整影响），且为常见 CMS 插件，易被自动化扫描利用，建议**立即更新**。