CVE-2026-32523 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WPJAM Basic 插件存在**危险类型文件上传不受限制**的代码问题。 💥 **后果**：攻击者可上传**恶意文件**，导致服务器被完全控制或数据泄露。

🔍 **CWE**：CWE-434（**不受限制的文件上传**）。 🐛 **缺陷点**：插件未对上传文件的**类型**进行严格校验，允许执行危险格式文件。

🎯 **组件**：WordPress 插件 **WPJAM Basic**。 📦 **版本**：**6.9.2 及之前版本**均受影响。

👑 **权限**：攻击者可获得**服务器级权限**（CVSS A:H）。 📂 **数据**：可读取/修改所有**敏感数据**（CVSS C:H/I:H），甚至植入 Webshell。

🔑 **门槛**：**中等**。 ⚙️ **配置**：需要 **PR:L**（低权限认证），即攻击者需拥有 WordPress **已登录账号**（如作者/编辑）才能触发。

📜 **Exp**：目前 **无公开 PoC**（pocs 为空）。 🌍 **在野**：暂无在野利用报告，但风险极高，需警惕。

🔎 **自查**：检查 WordPress 插件列表，确认是否安装 **WPJAM Basic**。 📊 **版本**：核对版本号是否 **≤ 6.9.2**。

🛡️ **补丁**：官方已发布修复建议。 🔗 **参考**：Patchstack 已收录该漏洞详情，建议升级至**最新版本**。

🚧 **临时规避**：若无法升级，请**立即禁用**该插件。 🔒 **权限**：严格限制上传目录的**执行权限**，防止恶意脚本运行。

🔥 **优先级**：**紧急**。 💡 **建议**：CVSS 评分极高（**Critical**），一旦拥有低权限账号即可利用，建议**立即修复**。