CVE-2024-8277 — 神龙十问 AI 深度分析摘要

🚨 **本质**：身份验证绕过漏洞。<br>🔥 **后果**：攻击者可非法登录，完全接管后台，导致数据泄露或网站被控。

🛡️ **CWE-288**：身份验证绕过。<br>🔍 **缺陷**：`login` 函数未正确验证**用户状态**及**用户身份**，逻辑存在致命漏洞。

📦 **组件**：WooCommerce Photo Reviews Premium。<br>🏢 **厂商**：Villatheme。<br>📉 **版本**：**1.3.13.2** 及之前所有版本。

👑 **权限**：获取管理员权限（Authentication Bypass）。<br>💾 **数据**：高机密性/完整性/可用性损失（CVSS C:H/I:H/A:H），可篡改内容或窃取数据。

🚪 **门槛**：**极低**。<br>📊 **CVSS**：攻击向量网络(AV:N)、攻击复杂度低(AC:L)、无需认证(PR:N)、无需用户交互(UI:N)。

💣 **有Exp**：GitHub 上已有 PoC 代码（如 realbotnet/PolatBey 仓库）。<br>⚠️ **注意**：部分 Exp 声称出售，存在在野利用风险。

🔎 **自查**：检查 WordPress 插件列表。<br>🔍 **特征**：查找名为 `WooCommerce Photo Reviews Premium` 的插件，确认版本号是否 ≤ 1.3.13.2。

🩹 **补丁**：数据未提及官方具体补丁版本。<br>✅ **建议**：立即联系厂商 Villatheme 或查看 CodeCanyon 页面获取最新安全更新。

🛡️ **临时规避**：<br>1️⃣ **停用/删除**该插件。<br>2️⃣ 限制后台访问 IP。<br>3️⃣ 启用 WAF 规则拦截异常登录请求。

🔥 **优先级**：**紧急 (Critical)**。<br>⚡ **理由**：CVSS 满分风险，无需认证即可利用，且已有 Exp 公开，建议立即修复。