CVE-2024-5932 — 神龙十问 AI 深度分析摘要

🚨 **本质**：PHP 对象注入 (PHP Object Injection)。 💥 **后果**：攻击者可 **远程执行代码 (RCE)** 并 **删除任意文件**。 ⚠️ 核心在于反序列化不受信任的输入。

🔍 **CWE**：CWE-502 (反序列化不受信任的数据)。 📍 **缺陷点**：参数 `give_title` 存在漏洞。 🐛 插件对输入进行了不安全的反序列化操作。

📦 **产品**：GiveWP – Donation Plugin and Fundraising Platform。 🏢 **厂商**：Stellarwp。 📉 **版本**：**3.14.1 及之前** 的所有版本均受影响。

👑 **权限**：无需认证 (Unauthenticated)。 💣 **能力**： 1. **RCE**：远程执行任意系统命令。 2. **删库**：删除服务器上的任意文件。 3. **数据泄露**：完全控制网站。

🚪 **门槛**：**极低**。 ✅ **认证**：无需登录 (PR:N)。 ✅ **交互**：无需用户交互 (UI:N)。 ✅ **网络**：远程利用 (AV:N)。 📊 **CVSS**：高危 (9.8/10)。

💻 **PoC**：**已有现成代码**。 🔗 多个 GitHub 仓库提供 PoC (如 EQSTSeminar, niktoproject)。 ⚠️ 注意：网上存在 **恶意假 PoC** (植入 xmrig 挖矿木马)，下载需谨慎！

🔎 **自查**： 1. 检查 WordPress 是否安装 **GiveWP** 插件。 2. 确认版本是否 **≤ 3.14.1**。 3. Fofa 搜索：`body="/wp"` 结合插件特征。 4. 扫描 `give_title` 参数是否被用于反序列化。

🛡️ **修复**：官方已发布补丁。 📅 **披露**：2024-08-20 公布。 🔄 **建议**：立即升级至 **最新版本** (3.14.1 之后)。

🚧 **临时规避**： 1. **禁用/卸载** GiveWP 插件。 2. 若必须使用，限制插件目录权限。 3. 配置 WAF 拦截异常的反序列化请求。 4. 监控服务器文件删除日志。

🔥 **优先级**：**紧急 (Critical)**。 ⚡ **理由**：无需认证即可 RCE，危害极大。 🏃 **行动**：立即升级或下线插件，防止被自动化脚本攻击。