CVE-2024-6328 — 神龙十问 AI 深度分析摘要

🚨 **本质**：MStore API 插件存在**身份验证绕过**漏洞。 💥 **后果**：攻击者无需登录即可访问受保护的管理功能，导致**高危安全风险**。 📉 **CVSS评分**：9.1 (Critical)，影响完整性、机密性和可用性。

🔍 **CWE ID**：**CWE-288** (身份验证绕过)。 🐛 **缺陷点**：插件在处理用户请求时，**未正确验证**操作者的身份权限。 📍 **代码位置**：`flutter-user.php` 控制器文件中，特定逻辑判断存在缺陷。

📦 **厂商**：inspireui。 📱 **产品**：MStore API – Create Native Android & iOS Apps On The Cloud。 📉 **受影响版本**：**4.14.7 及之前版本**。 🌐 **平台**：WordPress 插件。

🔓 **权限**：绕过认证，以管理员或特权用户身份执行操作。 📊 **数据**：可读取、修改或删除敏感数据（C:H, I:H）。 ⚙️ **系统**：可能完全控制网站后台（A:H），导致服务中断。

🚪 **认证**：**无需认证** (PR:N)。 🌐 **网络**：远程利用 (AV:N)。 🎯 **复杂度**：**低** (AC:L)。 👤 **用户交互**：**无需用户交互** (UI:N)。 ✅ **结论**：利用门槛极低，极易被自动化脚本攻击。

📜 **PoC**：漏洞数据中 **PoCs 列表为空**。 🌍 **在野利用**：数据未明确提及在野利用情况。 🔗 **参考**：WordFence 已发布威胁情报，建议关注官方动态。

🔎 **自查特征**：检查 WordPress 插件列表中是否安装 **MStore API**。 📋 **版本核对**：确认版本号为 **4.14.7 或更低**。 🛠️ **扫描**：使用 WPScan 或类似工具扫描插件版本及已知漏洞。

🛡️ **补丁状态**：官方已发布修复版本。 🔗 **修复链接**：参考 WordPress Trac 变更集 **3115231**。 ✅ **建议**：立即升级至最新版本以修复此漏洞。

🚧 **临时规避**：若无法立即升级，建议**暂时禁用**该插件。 🔒 **访问控制**：限制 `/wp-admin/` 或插件 API 端点的 IP 访问。 📝 **监控**：加强服务器日志监控，关注异常的管理员操作请求。

🔥 **优先级**：**极高 (Critical)**。 ⚡ **紧急程度**：CVSS 9.1 分，远程无需认证即可利用。 💡 **建议**：**立即行动**，优先升级插件或采取临时缓解措施，防止被自动化攻击。