CVE-2024-9822 — 神龙十问 AI 深度分析摘要

🚨 **本质**：认证绕过漏洞。 📉 **后果**：攻击者可无需密码直接登录后台，接管网站控制权。

🔍 **CWE-288**：认证功能缺陷。 📍 **缺陷点**：`login_admin_user` 函数**限制不足**，未严格校验身份。

📦 **组件**：WordPress 插件 **Pedalo Connector**。 🏢 **厂商**：pedaloagency。 📅 **版本**：**2.0.5** 及之前所有版本。

👑 **权限**：直接获取 **Administrator**（管理员）权限。 🎯 **目标**：自动登录第一个用户（通常是站长），或首个管理员账号。

📶 **门槛**：**极低**。 🔓 **认证**：**无需认证**（Unauthenticated）。 🌐 **网络**：远程利用（AV:N）。

💻 **PoC**：有现成代码。 🔗 **来源**：GitHub (RandomRobbieBF) 已公开利用脚本。 🔥 **状态**：CVSS 9.8，高危，利用难度低。

🔎 **自查**：检查 WP 后台已安装插件。 📋 **特征**：查找名为 **Pedalo Connector** 的插件。 📊 **版本**：确认版本号是否 **≤ 2.0.5**。

🛡️ **补丁**：数据未提供具体补丁版本。 💡 **建议**：立即联系厂商 pedaloagency 获取更新，或查看官方更新日志。

⚠️ **临时规避**： 1️⃣ **停用/删除**该插件（最推荐）。 2️⃣ 限制后台访问 IP。 3️⃣ 修改默认管理员用户名（若已存在风险）。

🔥 **优先级**：**紧急 (P0)**。 📈 **CVSS**：**9.8** (Critical)。 ⚡ **行动**：立即修复或下线插件，防止网站被完全接管。