CVE-2024-52475 — 神龙十问 AI 深度分析摘要

🚨 **本质**：身份验证绕过（Broken Authentication）。黑客可通过**备用路径或通道**绕过正常登录流程。后果：直接导致**账户接管**，网站控制权旁落。

🔍 **根本原因**：CWE-288（身份验证绕过）。代码逻辑缺陷，未对所有入口进行统一鉴权，允许通过非标准接口访问受保护资源。

🎯 **受影响者**：使用 **WordPress** 博客平台的用户。具体组件：**Wawp Plugin**（自动化Web平台插件）。

💀 **黑客能力**：完全权限。CVSS评分极高（C:H/I:H/A:H），意味着可**读取敏感数据**、**篡改网站内容**、甚至**删除站点**。

⚡ **利用门槛**：**极低**。无需认证（PR:N），攻击复杂度低（AC:L），无需用户交互（UI:N）。远程匿名即可利用。

📦 **PoC情况**：**有**。GitHub上已有公开Exploit（CVE-2024-52475），由 ubaii/ubaydev 发布。虽声明仅供学习，但代码已公开，在野利用风险高。

🔎 **自查方法**：检查 WordPress 后台插件列表，确认是否安装 **Wawp Plugin**。查看版本是否为 **3.0.18 之前**（即 <= 3.0.17）。

🛡️ **修复状态**：**已修复**。官方建议升级至 **Wawp Plugin 3.0.18** 或更高版本。Patchstack 数据库已收录此修复信息。

🚧 **临时规避**：若无法立即升级，建议**暂时禁用**该插件，或配置 WAF 规则拦截针对该插件备用路径的异常请求。

🔥 **优先级**：**紧急**。CVSS 满分风险，且 PoC 公开。建议**立即**排查并升级，防止账户被接管导致数据泄露。