CVE-2023-51478 — 神龙十问 AI 深度分析摘要

🚨 **本质**：授权逻辑缺陷（身份验证不正确）。 💥 **后果**：攻击者可**提升权限**，导致严重的**账户接管**风险。

🛡️ **CWE**：CWE-287（身份验证不当）。 🔍 **缺陷点**：插件内部**身份验证机制**存在漏洞，未能正确校验用户权限。

📦 **组件**：WordPress 插件 **Build App Online**。 👤 **厂商**：Abdul Hakeem。 ⚠️ **版本**：**1.0.19 及之前**所有版本均受影响。

🔓 **权限**：攻击者可**提升权限**。 📊 **数据**：CVSS 评分显示 **C:H, I:H, A:H**（机密性、完整性、可用性均为高），意味着核心数据和管理功能完全暴露。

🚪 **认证**：**PR:N**（无需权限/无需认证）。 🌐 **网络**：**AV:N**（网络远程利用）。 ⚡ **门槛**：**极低**，无需用户交互，远程即可触发。

💣 **Exp**：数据中 **pocs** 字段为空，暂无公开 PoC。 🌍 **利用**：参考链接提及“Unauthenticated Account Takeover”（未授权账户接管），暗示利用路径已明确。

🔍 **自查**：检查 WordPress 后台插件列表。 📋 **特征**：确认是否安装 **Build App Online** 插件，且版本号 **≤ 1.0.19**。

🩹 **补丁**：参考链接指向 Patchstack 漏洞库，通常此类授权问题需**升级插件**至修复版本。 ⏳ **状态**：数据未提供具体修复版本号，建议立即联系厂商或查看官方更新日志。

🛡️ **临时规避**： 1. **停用/删除**该插件（如果非核心业务必需）。 2. 限制插件目录的**文件访问权限**。 3. 启用 WAF 规则拦截异常的身份验证请求。

🔥 **优先级**：**紧急**。 📈 **理由**：CVSS 向量显示为高危（全 H），且**无需认证**即可利用，极易被自动化脚本批量扫描攻击。建议**立即行动**。