CVE-2024-54297 — 神龙十问 AI 深度分析摘要

🚨 **本质**：身份验证绕过漏洞。 🔥 **后果**：攻击者无需账号即可接管用户账户，导致**完全失陷**。

🛡️ **CWE-288**：认证绕过缺陷。 🔍 **缺陷点**：系统存在**备用路径或通道**，未对备用入口实施同等严格的身份验证检查。

📦 **组件**：WordPress 插件 **vBSSO-lite**。 🏢 **厂商**：extremeidea。 📉 **版本**：**1.4.3 及之前**所有版本均受影响。

👤 **权限**：获得**管理员或普通用户**权限。 💾 **数据**：可读取、修改、删除所有**敏感数据**，甚至控制整个站点。

📶 **门槛**：**极低**。 🔓 **认证**：**无需认证** (PR:N)。 🌐 **网络**：远程利用 (AV:N)。 🎯 **复杂度**：低 (AC:L)。

🧪 **PoC**：数据中 **pocs 为空**，暂无公开代码。 🌍 **在野**：暂无明确在野利用报告，但 CVSS 评分极高，风险巨大。

🔍 **自查**：检查 WordPress 插件列表。 🔎 **特征**：查找名为 **vBSSO-lite** 的插件。 📋 **版本**：确认版本号是否 **≤ 1.4.3**。

🛠️ **补丁**：官方已发布修复建议。 📢 **动作**：请立即升级至**最新版本**（1.4.4+）。 🔗 **参考**：Patchstack 数据库已收录详情。

🚧 **临时规避**：若无补丁，建议**立即禁用**该插件。 🔒 **替代**：寻找其他支持 SSO 的替代插件，或暂时关闭单点登录功能。

🚨 **优先级**：**紧急 (Critical)**。 📊 **CVSS**：**9.8** (极高危)。 ⚡ **建议**：**立即行动**，此漏洞可直接导致账户接管，不容拖延。