CVE-2024-54294 — 神龙十问 AI 深度分析摘要

更新日 2026-05-08CVSS 9.8 · Critical

本页是神龙十问 AI 深度分析的摘要版。完整版（更长回答、追问、相关漏洞）需登录查看 →

Q1这个漏洞是什么？（本质+后果）

🚨 **本质**：身份验证绕过。 📉 **后果**：攻击者可通过备用路径绕过 Firebase OTP 验证，直接接管账户。

🔍 **CWE-288**：身份验证绕过。 ⚠️ **缺陷**：代码逻辑未严格校验所有入口，允许使用非标准通道 bypass 安全机制。

📦 **组件**：WordPress 插件 Firebase OTP Authentication。 🏢 **厂商**：Appgenix Infotech。 📌 **版本**：1.0.1 及更早版本。

🔑 **权限**：完全接管用户账户（Account Takeover）。 💾 **数据**：可访问受保护的用户数据，甚至管理员权限。

📶 **门槛**：极低。 🔓 **条件**：无需认证（PR:N）、无需用户交互（UI:N）、网络远程即可利用（AV:N）。

🧪 **Exp**：暂无公开 PoC 代码。 🌍 **在野**：目前未发现大规模在野利用报告，但风险极高。

🔎 **自查**：检查 WP 插件列表。 🔍 **特征**：查找名为 "Firebase OTP Authentication" 的插件，确认版本号是否 ≤ 1.0.1。

🛡️ **补丁**：数据未提供具体补丁链接。 ⏳ **状态**：建议立即联系厂商 Appgenix Infotech 获取更新或升级至修复版本。

🚧 **临时规避**： 1️⃣ 暂时禁用该插件。 2️⃣ 限制插件目录访问权限。 3️⃣ 启用 WAF 规则拦截异常 OTP 请求路径。

🔥 **优先级**：紧急（CVSS 9.8 高危）。 💡 **建议**：立即升级或停用插件，防止账户被恶意接管。