CVE-2024-13421 — 神龙十问 AI 深度分析摘要

🚨 **本质**：权限管理缺陷。 💥 **后果**：攻击者可**非法注册管理员账号**，彻底接管站点。

🔍 **CWE-266**：权限配置错误。 📍 **缺陷点**：用户注册逻辑未校验权限，导致非授权用户可提升为 Admin。

🏢 **厂商**：contempoinc。 📦 **产品**：Real Estate 7 WordPress。 📉 **版本**：**3.5.1 及之前**所有版本。

👑 **权限**：获取 **Admin 管理员权限**。 📂 **数据**：完全控制网站，可篡改内容、植入后门、窃取数据库。

📉 **门槛极低**。 🔓 **无需认证**：CVSS 显示 PR:N（无需权限），AC:L（攻击简单），UI:N（无需交互）。

🚫 **暂无公开 Exp**。 📝 **状态**：数据中 pocs 为空，目前无已知在野利用代码。

🔎 **自查**：检查 WP 插件列表。 📋 **特征**：是否存在 **Real Estate 7** 插件且版本 **≤ 3.5.1**。

🛡️ **官方修复**：参考 changelog 链接。 ✅ **建议**：升级至 **3.5.2+** 或最新安全版本。

⚠️ **临时规避**： 1. **禁用前台注册**功能。 2. 限制 `/wp-admin` 访问 IP。 3. 启用 **2FA 双重验证**。

🔥 **优先级：紧急**。 📊 **CVSS 9.8**：高危。 💡 **建议**：立即升级插件，防止站点被黑。