CVE-2024-54239 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WordPress插件 **Eyewear prescription form** 存在 **缺少授权检查** 漏洞。 💥 **后果**：未认证攻击者可 **任意修改** 网站配置，导致 **权限提升**（如将默认用户角色设为管理员）。

🔍 **CWE**：CWE-862（缺少授权）。 📍 **缺陷点**：`adminSetting()` 函数 **未验证用户权限**，允许未认证用户直接调用。

📦 **组件**：WordPress Plugin **Eyewear prescription form**。 🏢 **厂商**：dugudlabs。 📅 **版本**：**4.0.18** 及之前所有版本。

👮 **权限**：从 **未认证** 提升至 **管理员** 权限。 📊 **数据**：可 **任意更新** WordPress 站点选项（如启用注册、修改默认角色）。

🚪 **门槛**：**极低**。 ✅ **认证**：**无需登录**（Unauthenticated）。 🌐 **网络**：远程利用（AV:N）。 🎯 **复杂度**：低（AC:L）。

💻 **PoC**：**有**。 🔗 **链接**：GitHub 上已有公开 PoC (RandomRobbieBF/CVE-2024-54239)。 ⚠️ **状态**：漏洞细节已公开，利用风险高。

🔎 **自查**：检查 WordPress 插件列表。 📌 **特征**：查找名为 **Eyewear prescription form** 的插件。 📉 **版本**：确认版本号是否 **≤ 4.0.18**。

🛠️ **补丁**：数据中未提供具体补丁版本。 📢 **建议**：联系厂商 **dugudlabs** 获取更新，或等待官方修复公告。 🔗 **参考**：Patchstack 数据库已收录该漏洞条目。

🛡️ **临时规避**： 1️⃣ **禁用/卸载** 该插件。 2️⃣ **限制访问**：通过防火墙或 .htaccess 禁止未认证用户访问相关 API 端点。 3️⃣ **监控**：密切监控管理员账户异常登录。

🔥 **优先级**：**紧急 (Critical)**。 📈 **CVSS**：**9.8** (极高)。 ⚡ **行动**：立即排查并修复，防止站点被接管。