CVE-2024-49604 — 神龙十问 AI 深度分析摘要

🚨 **本质**：身份验证绕过。 🔥 **后果**：攻击者无需登录即可接管用户账户，直接导致**账号被盗**和**数据泄露**。

🔍 **CWE-288**：身份验证绕过。 ⚠️ **缺陷点**：插件使用了**备用路径或通道**，导致安全校验逻辑被跳过。

📦 **组件**：WordPress 插件 Simple User Registration。 🏢 **厂商**：N-Media。 📉 **版本**：**5.5 版本及之前**的所有旧版本。

👮 **权限**：获得**完全控制权**（CVSS 3.1 满分风险）。 💾 **数据**：可读取、修改所有用户敏感信息，甚至执行管理员操作。

🚪 **门槛极低**。 ✅ **无需认证**（PR:N）。 ✅ **无需用户交互**（UI:N）。 ✅ **网络远程**（AV:N）即可利用。

📄 **PoC**：数据中未提供公开代码。 🌍 **在野利用**：暂无明确在野利用报告，但鉴于漏洞性质，**高危预警**，需假设存在利用风险。

🔎 **自查**：检查 WordPress 后台插件列表。 🔍 **特征**：查找名为 **Simple User Registration** 的插件，确认版本号是否 **≤ 5.5**。

🛡️ **补丁**：官方已发布修复方案。 📢 **建议**：立即升级至**最新版本**以修复备用通道绕过问题。

⚠️ **临时规避**：若无法升级，建议**暂时禁用**该插件。 🚫 **替代方案**：使用其他经过安全审计的用户注册插件替代。

🔥 **优先级：极高**。 🚨 **CVSS 评分**：10.0（严重）。 ⏰ **行动**：立即修复！这是**账户接管**漏洞，风险极大，不容拖延。