CVE-2024-7350 — 神龙十问 AI 深度分析摘要

🚨 **本质**：BookingPress 插件在用户预订后、登录前，**未正确验证身份**。 💥 **后果**：攻击者可绕过认证，直接访问敏感数据或执行操作，导致**数据泄露、篡改或服务中断**。

🔍 **CWE**：CWE-288（认证绕过）。 🛠️ **缺陷点**：`class.bookingpress_customers.php` 中，预订流程的**身份验证逻辑缺失**，导致状态检查失效。

📦 **组件**：WordPress 插件 **BookingPress** (Appointment Booking Calendar Plugin)。 🏢 **厂商**：reputeinfosystems。 📅 **版本**：**1.1.6** 至 **1.1.7** 版本受影响。

👮 **权限**：无需登录即可利用（**PR:N**）。 📊 **数据**：可读取高敏感信息（**C:H**），可篡改数据（**I:H**），可破坏服务（**A:H**）。

📉 **门槛**：**极低**。 ✅ **条件**：无需认证（**PR:N**）、无需用户交互（**UI:N**）、网络远程利用（**AV:N**）、攻击复杂度低（**AC:L**）。

🧪 **Exp/PoC**：当前数据中 **无公开 PoC**（pocs 为空）。 🌍 **在野利用**：暂无明确在野利用报告，但鉴于 CVSS 分数极高，风险极大。

🔎 **自查**：检查 WordPress 插件列表，确认是否安装 **BookingPress**。 📌 **版本核对**：确认版本是否在 **1.1.6 - 1.1.7** 之间。

🛡️ **补丁**：官方已发布修复。 🔗 **参考**：WordPress Trac 变更记录 (changeset 3130266) 及 WordFence 威胁情报已确认漏洞存在及修复方向。

⚠️ **临时规避**：若无法立即更新，建议**暂时禁用** BookingPress 插件。 🚫 **限制访问**：限制插件相关 API 端点的访问权限，或启用 WAF 规则拦截异常预订请求。

🔥 **优先级**：**紧急 (Critical)**。 📈 **CVSS**：**9.8** (极高)。 💡 **建议**：立即升级插件至最新版本，或采取临时缓解措施，防止数据泄露。