CVE-2024-9634 — 神龙十问 AI 深度分析摘要

🚨 **本质**：PHP对象注入漏洞（Deserialization）。<br>🔥 **后果**：攻击者可执行任意代码，彻底接管站点。

🔍 **CWE**：CWE-502（反序列化不可信数据）。<br>🐛 **缺陷**：未经验证的数据被直接反序列化，导致对象注入。

🏢 **厂商**：Stellarwp。<br>📦 **产品**：GiveWP – Donation Plugin and Fundraising Platform。<br>📅 **版本**：3.16.3 及更早版本。

👑 **权限**：获得服务器最高权限（Root/Admin）。<br>💾 **数据**：完全泄露数据库、用户信息及捐赠记录。

📉 **门槛**：极低。<br>🌐 **条件**：无需认证（PR:N），无需用户交互（UI:N），网络远程即可利用。

📜 **Exp**：数据未显示公开PoC或确切的在野利用。<br>⚠️ **风险**：CVSS评分极高，高危漏洞通常很快出现利用代码。

🔎 **自查**：检查WP后台插件列表。<br>🔖 **特征**：名称包含“GiveWP”，版本号 ≤ 3.16.3。

✅ **补丁**：已修复。<br>🛠️ **方案**：升级至 **3.16.4** 或更高版本（参考修复提交记录）。

🛡️ **临时**：若无补丁，立即**停用**该插件。<br>🚫 **替代**：寻找其他捐赠插件或暂时关闭捐赠功能。

🔴 **优先级**：P0（紧急）。<br>📊 **评分**：CVSS 9.8（Critical）。<br>💡 **建议**：立即升级，防止被自动化脚本扫描攻击。