CVE-2024-12402 — 神龙十问 AI 深度分析摘要

🚨 **本质**：账户接管导致权限提升。 💥 **后果**：攻击者可完全控制受影响的应用，造成数据泄露或服务中断。

🔍 **CWE**：CWE-288（访问控制错误）。 📍 **缺陷**：身份验证逻辑存在缺陷，允许未授权用户通过接管账户获取更高权限。

📦 **组件**：WordPress Plugin **Themes Coder**。 📌 **具体产品**：TC Ecommerce – Create Android & iOS Apps for WooCommerce。 ⚠️ **版本**：1.3.4 及之前所有版本。

🔓 **权限**：从普通用户提升至管理员/高权限角色。 📊 **数据**：CVSS评分显示 **C:H, I:H, A:H**，意味着机密性、完整性和可用性均遭受 **严重** 影响。

🚪 **认证**：PR:N（无需认证）。 🌐 **攻击向量**：AV:N（网络可攻击）。 🎯 **结论**：门槛极低，远程攻击者无需登录即可尝试利用。

📄 **PoC**：数据中 **pocs** 字段为空，暂无公开代码级利用程序。 🌍 **在野**：未提及在野利用情况，但CVSS 9.8分极高，风险不容忽视。

🔎 **自查**：检查 WordPress 插件列表。 🔍 **特征**：查找名为 **TC Ecommerce** 或开发者为 **themescoder** 的插件。 📋 **版本**：确认版本号是否 ≤ 1.3.4。

🛠️ **补丁**：官方已发布修复。 🔗 **参考**：参见 WordPress Trac 上的代码变更（app_user.php 第338行附近）。 ✅ **建议**：立即升级至最新版本。

🛡️ **临时规避**：若无法立即升级，建议 **禁用** 该插件。 🚫 **限制访问**：限制对 WordPress 后台及插件目录的网络访问权限。 👥 **审查**：检查是否有异常的高权限账户登录记录。

🔥 **优先级**：**紧急**。 📈 **CVSS**：3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H，得分极高。 ⚡ **行动**：作为电商相关插件，涉及资金和用户数据，需 **立即** 处理。