CVE-2023-35039 — 神龙十问 AI 深度分析摘要

🚨 **本质**：暴力破解防护失效。插件对**身份验证尝试**缺乏足够限制。后果：攻击者可无限次尝试，导致**账户被接管**或**权限提升**。

🔍 **CWE-307**：不当的身份验证。缺陷点在于**PIN码生成机制薄弱**且**重试次数无限制**，让暴力破解变得极其容易。

🛡️ **受影响**：WordPress 插件 **Password Reset with Code for WordPress REST API**。版本：**0.0.15 及之前**的所有版本。

💡 **黑客能力**：CVSS 评分极高（H/H/H）。可完全**读取敏感数据**、**篡改系统配置**、**破坏服务可用性**。直接导致**权限提升**。

🚨 **门槛极低**：无需认证（PR:N）、无需用户交互（UI:N）、网络远程即可利用（AV:N）。**零门槛**，任何人都能试。

🔍 **现状**：数据中 **pocs 为空**。暂无公开 PoC 或确切的在野利用报告，但逻辑漏洞极易编写脚本自动化攻击。

🔍 **自查方法**：检查 WordPress 插件列表，确认是否安装 **Be Devious Web Development** 开发的该插件，且版本 **≤ 0.0.15**。

🛡️ **修复状态**：官方已发布安全公告。参考链接指向 Patchstack 数据库，建议立即联系厂商获取**更高版本的补丁**。

🛡️ **临时规避**：若无法升级，建议**暂时禁用该插件**。或在服务器层面对重置密码接口实施**IP 速率限制**，阻断高频请求。

🚨 **优先级：紧急**。CVSS 3.1 满分风险，无需认证即可利用。建议**立即排查**并升级，防止账户被暴力破解撞库。