CVE-2021-4380 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WordPress插件 Pinterest Automatic 存在**访问控制错误**。 🔥 **后果**：攻击者可**绕过授权**，直接操作后台功能，导致站点被完全控制。

🛡️ **CWE**：CWE-284 (访问控制错误)。 🔍 **缺陷点**：函数 `wp_pinterest_automatic_parse_request` 和脚本 `process_form.php` **缺少能力检查** (Capability Checks)。

📦 **组件**：WordPress Plugin **Pinterest Automatic**。 🏢 **厂商**：ValvePress。 ⚠️ **版本**：版本 **≤ 1.14.3** 均受影响。

💀 **黑客权限**：无需登录即可执行操作。 📊 **数据风险**：可**更新任意站点选项**，包括**创建新的管理员账户**或**重定向访客**（钓鱼/挂马）。

🚪 **利用门槛**：**极低**。 🔑 **认证**：**无需认证** (PR:N)。 🌐 **网络**：远程 (AV:N)。 🎯 **复杂度**：低 (AC:L)。

💻 **PoC**：有现成模板。 🔗 **来源**：ProjectDiscovery Nuclei Templates。 📄 **链接**：`http/cves/2021/CVE-2021-4380.yaml`。

🔍 **自查特征**：检查是否安装 Pinterest Automatic 插件。 📋 **版本比对**：确认版本是否 **≤ 1.14.3**。 🛠️ **工具**：使用 Nuclei 模板扫描 `process_form.php` 或相关函数调用。

🔧 **官方修复**：数据未提供具体补丁发布日期，但指出 **1.14.3** 是受影响上限。 ✅ **建议**：升级至 **1.14.4 或更高版本**（通常修复版本为最新稳定版）。

🚫 **临时规避**：若无补丁，**立即禁用/卸载**该插件。 🔒 **权限收紧**：确保后台接口不直接暴露，但鉴于无需认证，**停用是唯一有效手段**。

🔥 **优先级**：**极高 (Critical)**。 📈 **CVSS**：9.8 (C:H/I:H/A:H)。 ⚡ **行动**：立即修复！攻击者可直接**创建管理员**或**劫持流量**，危害极大。