Question 1

这个漏洞是什么？（本质+后果）

Accepted Answer

🚨 **本质**：Brizy 插件缺少**文件类型验证**。 💥 **后果**：攻击者可上传恶意文件，直接执行**远程代码 (RCE)**。

Question 2

根本原因？（CWE/缺陷点）

Accepted Answer

🔍 **CWE**：CWE-434 (Unrestricted Upload of File with Dangerous Type)。 📉 **缺陷**：未对上传文件的类型进行严格校验，导致恶意载荷混入。

Question 3

影响谁？（版本/组件）

Accepted Answer

📦 **组件**：WordPress 插件 **Brizy – Page Builder**。 📅 **版本**：**2.6.4 及之前版本**均受影响。

Question 4

黑客能干啥？（权限/数据）

Accepted Answer

👑 **权限**：获得服务器**远程代码执行**权限。 📂 **数据**：可完全控制网站数据，窃取信息或植入后门。

Question 5

利用门槛高吗？（认证/配置）

Accepted Answer

🔑 **门槛**：需 **PR:L** (低权限认证)。 📝 **说明**：攻击者需具备 WordPress 的**登录权限**（如作者/编辑角色）即可利用。

Question 6

有现成Exp吗？（PoC/在野利用）

Accepted Answer

🚫 **Exp**：数据中 **PoCs 为空**。 🌍 **利用**：暂无公开在野利用报告，但风险极高。

Question 7

怎么自查？（特征/扫描）

Accepted Answer

🔎 **自查**：检查 WP 后台插件列表。 📊 **版本**：确认 Brizy 版本是否 **≤ 2.6.4**。

Question 8

官方修了吗？（补丁/缓解）

Accepted Answer

🛡️ **补丁**：已修复。 📌 **版本**：升级至 **2.6.5** 或更高版本可解决。

Question 9

没补丁咋办？（临时规避）

Accepted Answer

⚠️ **规避**：若无补丁，立即**停用** Brizy 插件。 🔒 **限制**：严格限制能上传文件的用户角色。

Question 10

急不急？（优先级建议）

Accepted Answer

🔥 **优先级**：**高**。 🚀 **建议**：CVSS 评分极高 (H/H/H)，建议**立即升级**至 2.6.5+。

CVE-2024-10960 — 神龙十问 AI 深度分析摘要

Q1这个漏洞是什么？（本质+后果）