CVE-2026-27044 — 神龙十问 AI 深度分析摘要

🚨 **本质**：代码生成控制不当导致远程代码包含 (RCE)。 💥 **后果**：攻击者可完全控制服务器，执行任意代码。

🔍 **CWE**：CWE-94 (代码注入)。 📍 **缺陷**：插件在处理用户输入时，未正确清理或验证，导致恶意代码被注入执行。

📦 **组件**：WordPress 插件 Total Poll Lite。 🏢 **厂商**：TotalSuite。 📅 **版本**：4.12.0 及之前所有版本。

👑 **权限**：远程代码执行 (RCE)。 📊 **数据**：可窃取数据库、读取敏感文件、植入后门，甚至控制整个 WordPress 站点。

🔓 **门槛**：低。 🔑 **认证**：需要低权限用户 (PR:L)。 🌐 **网络**：远程利用 (AV:N)。 👀 **交互**：无需用户交互 (UI:N)。

🚫 **PoC**：当前数据中 **无** 公开 PoC。 🌍 **在野**：暂无在野利用报告。 ⚠️ **注意**：CVSS 评分极高，Exp 可能随时出现。

🔍 **自查**：检查 WordPress 插件列表。 🔎 **特征**：查找名为 **Total Poll Lite** 的插件。 📝 **版本**：确认版本号是否 ≤ 4.12.0。

🛡️ **补丁**：需升级至 **4.12.0 之后** 的安全版本。 📢 **来源**：参考 Patchstack 官方修复建议链接。

⚠️ **临时规避**： 1. **立即停用**该插件。 2. 若必须使用，限制访问权限。 3. 加强 WAF 规则，过滤代码注入特征。

🔥 **优先级**：**紧急 (Critical)**。 📈 **CVSS**：9.8 (极高)。 💡 **建议**：立即升级或禁用，不要等待 PoC 出现。