CVE-2024-49247 — 神龙十问 AI 深度分析摘要

🚨 **本质**：身份验证绕过。攻击者利用备用路径或通道，直接跳过登录验证。 💥 **后果**：系统防线形同虚设，未授权访问成为现实。

🔍 **CWE-288**：身份验证绕过缺陷。 🛠️ **缺陷点**：插件未能正确校验所有入口点，存在“后门”路径。

📦 **组件**：WordPress 插件 BuddyPress Better Registration。 📉 **版本**：1.6 版本及之前所有版本。

👮 **权限**：完全绕过身份验证。 📂 **数据**：高危风险（CVSS H），可窃取、篡改数据，甚至控制站点。

📶 **门槛**：极低。 🔓 **认证**：无需认证（PR:N），无需用户交互（UI:N），网络远程即可利用（AV:N）。

🧪 **Exp**：数据中未提供现成 PoC。 🌍 **在野**：暂无公开在野利用报告，但风险极高，需警惕。

🔎 **自查**：检查 WP 后台插件列表。 🏷️ **特征**：确认是否安装 **BuddyPress Better Registration** 且版本 **≤ 1.6**。

🛡️ **补丁**：官方已发布修复建议。 🔗 **参考**：Patchstack 数据库已收录，建议立即升级至修复版本。

⚠️ **临时规避**：若无法升级，建议暂时 **停用** 该插件。 🚫 **限制**：限制插件目录访问权限，或配置 WAF 拦截异常请求。

🔥 **优先级**：**紧急**。 🚀 **建议**：CVSS 满分级风险，立即行动，优先升级或停用！