CVE-2023-47840 — 神龙十问 AI 深度分析摘要

🚨 **本质**：权限缺失导致任意插件安装/激活。 💥 **后果**：攻击者可植入恶意代码，完全控制站点。

🛡️ **CWE-94**：代码注入。 🔍 **缺陷点**：`install_plugin()` 函数缺少**能力检查**（Capability Check）。

📦 **厂商**：Qode Interactive。 📉 **版本**：Qode Essential Addons **≤ 1.5.2**。

👮 **权限**：最低仅需 **Subscriber**（订阅者）级认证。 💾 **数据**：可激活任意插件，导致**高**机密/完整性/可用性损失。

🚪 **门槛**：中等。 ✅ **条件**：需**认证用户**（Subscriber+），无需UI交互。

📜 **PoC**：有。 🔗 **链接**：GitHub `RandomRobbieBF/CVE-2023-47840`。

🔎 **自查**：检查插件版本是否 **≤ 1.5.2**。 📡 **扫描**：检测未授权插件安装接口调用。

🛠️ **补丁**：数据未提供具体补丁版本。 ⚠️ **建议**：关注厂商公告或 CNNVD。

🚧 **规避**：升级至最新版本。 🔒 **限制**：严格限制 **Subscriber** 及以上用户的插件管理权限。

⚡ **优先级**：**高**。 📊 **CVSS**：4.3 (Medium)，但影响范围极大（S:C/C:H/I:H/A:H），需立即处理。