CVE-2026-3584 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Kali Forms 插件存在 **代码注入** 漏洞。 💥 **后果**：攻击者可执行 **任意代码**，完全控制服务器。

🔍 **CWE**：CWE-94 (代码注入)。 📍 **缺陷点**：`form_process` 和 `prepare_post_data` 函数。 ⚠️ **原因**：用户提供的键直接映射到内部占位符，并结合 `call_user_func` 使用。

📦 **组件**：WordPress 插件 **Kali Forms**。 🏢 **厂商**：wpchill。 📉 **版本**：**2.4.9 及之前版本**。

👑 **权限**：服务器级 **RCE** (远程代码执行)。 📊 **数据**：可读取/修改所有网站数据、数据库、配置文件。 🌐 **影响**：CVSS 评分极高 (C:H/I:H/A:H)。

🚪 **认证**：**无需认证** (Unauthenticated)。 🎯 **门槛**：极低。攻击者可直接通过表单接口触发漏洞。

💻 **PoC**：有现成利用代码。 🔗 **来源**：ProjectDiscovery Nuclei 模板已发布。 🌍 **在野**：数据未明确提及，但 PoC 公开意味着利用门槛极低。

🔎 **自查**：检查 WordPress 插件列表。 📋 **特征**：确认 Kali Forms 版本是否 **≤ 2.4.9**。 🛠️ **工具**：使用 Nuclei 扫描模板 `CVE-2026-3584.yaml`。

🛡️ **补丁**：官方已发布修复版本。 📅 **时间**：2026-03-20 公布。 🔗 **链接**：WordPress Trac 有相关变更集 (Changeset 3487024)。

⏸️ **临时规避**： 1. **立即停用** Kali Forms 插件。 2. 若无必要，暂时移除该插件。 3. 限制表单访问 IP (效果有限，因无需认证)。

🔥 **优先级**：**紧急 (Critical)**。 ⚡ **建议**：立即升级插件至最新版本。无需认证即可 RCE，风险极大！