CVE-2024-2172 — 神龙十问 AI 深度分析摘要

🚨 **本质**：权限升级漏洞。 💥 **后果**：攻击者可获取最高权限，完全控制站点。

🔍 **CWE-304**：缺少对关键函数 `mo_wpns_init()` 的功能检查。 🛑 **缺陷**：未验证执行权限，导致逻辑绕过。

📦 **组件**：WordPress Plugin Malware Scanner。 🏷️ **版本**：4.7.2 及之前所有版本。 👤 **厂商**：cyberlord92。

👑 **权限**：从普通用户升级为 **Admin**。 📂 **数据**：可读取、修改、删除所有网站数据。 🔓 **系统**：可能执行任意代码，接管服务器。

📉 **门槛极低**。 🚫 **无需认证**：PR:N。 🎯 **无需交互**：UI:N。 🌐 **远程利用**：AV:N。 ⚡ **无需复杂条件**：AC:L。

📜 **PoC**：数据中未提供现成 Exploit 代码。 🌍 **在野利用**：暂无公开在野利用报告。 ⚠️ **风险**：因利用简单，随时可能被自动化脚本攻击。

🔎 **检查插件**：查看 WP 后台是否安装 `miniorange-malware-protection`。 📂 **检查版本**：确认版本是否 ≤ 4.7.2。 📝 **检查文件**：定位 `handler/login.php` 第 89 行附近代码。

🛠️ **官方修复**：是的，已发布修复版本。 🔗 **参考**：WordPress Trac 变更记录显示已修补。 ✅ **建议**：立即升级至最新版本。

🛡️ **临时措施**： 1️⃣ **禁用插件**：暂时停用该插件。 2️⃣ **访问控制**：限制 `/wp-admin/` 访问 IP。 3️⃣ **WAF 防护**：拦截针对 `mo_wpns_init` 的异常请求。

🔥 **优先级：极高**。 📈 **CVSS 评分**：9.8 (Critical)。 ⏳ **紧迫性**：利用简单且无需认证，建议 **立即** 升级或隔离。