CVE-2026-23802 — 神龙十问 AI 深度分析摘要

🚨 **本质**：AI Engine 插件允许上传**危险类型文件**。 🔥 **后果**：攻击者可上传**恶意文件**，导致服务器被控或数据泄露。

🛡️ **CWE-434**：无限制的文件上传。 ❌ **缺陷**：未对上传文件的**类型/扩展名**进行严格校验。

📦 **组件**：WordPress 插件 **AI Engine**。 👤 **厂商**：Jordy Meow。 📅 **版本**：**3.3.2** 及之前所有版本。

💻 **权限**：获取服务器**执行权限**（Webshell）。 📂 **数据**：完全控制网站文件，窃取数据库信息。

🔑 **门槛**：需 **PR:H**（高权限/认证）。 👉 **说明**：攻击者需先登录 WordPress 后台或拥有上传权限。

🕵️ **Exp**：当前 **无公开 PoC**。 🌍 **在野**：暂无在野利用报告，但风险极高。

🔍 **自查**：检查插件版本是否 **≤ 3.3.2**。 📋 **扫描**：检测后台是否存在**未限制的文件上传接口**。

🔧 **补丁**：需升级至**修复版本**（官方未列具体版，建议查最新）。 📢 **参考**：Patchstack 已发布安全公告。

🚫 **规避**：禁用**文件上传功能**。 🛡️ **限制**：严格限制后台用户权限，启用**WAF**拦截恶意上传。

⚠️ **优先级**：**高**。 📉 **CVSS**：**9.8**（严重）。 🏃 **行动**：立即升级插件或隔离受影响实例。