CVE-2026-32536 — 神龙十问 AI 深度分析摘要

🚨 **本质**：文件上传未限制危险类型。<br>🔥 **后果**：攻击者可上传恶意文件，导致服务器被控或数据泄露。

🛡️ **CWE**：CWE-434（危险文件上传）。<br>🔍 **缺陷**：插件未对上传文件的类型进行有效校验和过滤。

📦 **组件**：WordPress Plugin Green Downloads。<br>🏷️ **厂商**：halfdata。<br>📅 **版本**：2.08 及之前所有版本。

💻 **权限**：高权限（CVSS A:H, I:H）。<br>📂 **数据**：完全可控（CVSS C:H）。<br>⚡ **能力**：执行任意代码、篡改网站内容、破坏服务。

🔑 **认证**：需要低权限（PR:L）。<br>🎯 **利用**：无需用户交互（UI:N），网络远程（AV:N）。<br>⚖️ **难度**：低（AC:L）。

📜 **PoC**：数据中未提供现成 PoC。<br>🌍 **在野**：暂无公开在野利用报告。<br>⚠️ **注意**：CVSS 评分极高，利用风险大。

🔍 **自查**：检查 WordPress 后台插件列表。<br>📋 **特征**：确认是否安装 'Green Downloads'。<br>📌 **版本**：核对版本号是否 ≤ 2.08。

🛠️ **补丁**：需升级至修复后的新版本（数据未提供具体修复版本）。<br>🔗 **参考**：Patchstack 有相关漏洞条目，建议查阅厂商公告。

🚫 **规避**：暂时禁用该插件。<br>🛡️ **限制**：严格限制上传目录权限，禁止 PHP 执行。<br>🔒 **WAF**：配置 WAF 拦截异常文件上传请求。

🔥 **优先级**：极高（Critical）。<br>⚡ **建议**：立即升级或禁用插件。<br>📉 **风险**：CVSS 向量显示影响范围极广，不可拖延。