CVE-2024-10124 — 神龙十问 AI 深度分析摘要

🚨 **本质**：访问控制错误（缺少权限检查）。<br>🔥 **后果**：未授权攻击者可远程安装/激活任意插件，进而实现 **远程代码执行 (RCE)**。

🛡️ **CWE-284**：访问控制错误。<br>🔍 **缺陷点**：`tp_install()` 函数缺少功能检查（Capability Check），导致任何人都能调用。

📦 **产品**：Vayu Blocks – Website Builder for the Block Editor。<br>🏢 **厂商**：themehunk。<br>📉 **版本**：**1.1.1 及之前版本**均受影响。

💀 **权限**：无需认证（Unauthenticated）。<br>📂 **数据/操作**：可任意安装和激活插件。若激活含漏洞插件，即可 **完全控制服务器**。

📶 **门槛极低**。<br>✅ **无需登录**。<br>✅ **无需用户交互**。<br>✅ **网络远程**即可利用。

🔓 **有现成 PoC**。<br>🔗 GitHub 上已有多个利用代码（如 RandomRobbieBF, Nxploited 仓库）。<br>⚠️ 攻击者可直接复用。

🔍 **自查方法**：<br>1. 检查 WP 插件列表，确认是否安装 **Vayu Blocks**。<br>2. 确认版本是否 **≤ 1.1.1**。<br>3. 扫描 `tp_install` 接口是否存在未授权访问。

🛠️ **官方已修复**。<br>📝 参考链接显示 WordPress Plugin Trac 上有变更集（Changeset 3173408）。<br>⚠️ 1.1.1 版本仅部分修复，需升级至最新版。

🚧 **临时规避**：<br>1. **立即停用**该插件。<br>2. 若无法停用，通过防火墙/WAF **阻断**对 `tp_install` 相关端点的未授权访问。<br>3. 监控异常插件安装行为。

🔴 **优先级：极高 (Critical)**。<br>⚡ **CVSS 9.8**。<br>🚀 **无需认证**即可 RCE，危害极大。<br>👉 **建议**：立即升级或卸载！