CVE-2024-50489 — 神龙十问 AI 深度分析摘要

🚨 **本质**：身份认证绕过漏洞。 💥 **后果**：攻击者可无需凭证直接接管账户，导致数据泄露或篡改。

🔍 **CWE**：CWE-288（身份认证绕过）。 🐛 **缺陷**：插件未正确验证用户身份，导致安全机制失效。

🎯 **组件**：WordPress 插件 Realty Workstation。 📦 **版本**：1.0.45 及之前所有版本。

👮 **权限**：完全接管用户账户（Account Takeover）。 📊 **数据**：高机密性(C:H)、高完整性(I:H)、高可用性(A:H)影响。

📉 **门槛**：极低。 🔓 **条件**：无需认证(PR:N)、无需用户交互(UI:N)、网络远程可攻击(AV:N)。

🧪 **Exp**：数据中未提供现成 PoC。 🌍 **在野**：暂无明确在野利用报告，但风险极高。

🔎 **自查**：检查 WP 后台插件列表。 🏷️ **特征**：确认是否安装 Realty Workstation 且版本 ≤ 1.0.45。

🛡️ **补丁**：官方已发布修复建议。 🔗 **参考**：Patchstack 数据库已收录修复方案。

⚠️ **规避**：立即禁用或卸载该插件。 🚫 **限制**：若无替代方案，需严格限制访问权限并监控日志。

🔥 **优先级**：紧急 (CVSS 9.8)。 🏃 **行动**：立即升级至最新版本或移除插件，防止账户被劫持。