CVE-2024-9988 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WordPress插件 **Crypto Tool** 存在**身份验证绕过**漏洞。 📉 **后果**：攻击者可未授权访问敏感功能，导致**机密性、完整性、可用性**全面受损（CVSS 9.8 高危）。

🔍 **CWE**：CWE-288 (Authentication Bypass)。 📍 **缺陷点**：函数 `crypto_connect_ajax_process::register` 中**缺少对用户提供的凭据验证**。

📦 **厂商**：odude。 📱 **产品**：Crypto Tool。 📅 **版本**：**2.15版本及之前**的所有版本均受影响。

🕵️ **黑客能力**：无需认证即可执行注册/连接操作。 💾 **数据风险**：可获取高敏感数据（C:H），篡改系统配置（I:H），甚至导致服务中断（A:H）。

🚪 **利用门槛**：**极低**。 ⚙️ **配置**：无需认证（PR:N），无需用户交互（UI:N），网络远程即可利用（AV:N/AC:L）。

💻 **Exploit**：GitHub上有现成PoC（链接见数据）。 🌍 **在野利用**：数据未明确提及，但CVSS 9.8且PoC公开，风险极高。

🔎 **自查特征**：检查WordPress站点是否安装 **Crypto Tool** 插件。 📊 **版本确认**：确认版本是否 **≤ 2.15**。

🛡️ **官方修复**：数据引用了WordPress Trac的变更集（changeset 3195424），暗示**已有修复代码**。 ✅ **建议**：立即升级至修复后的最新版本。

⚠️ **临时规避**：若无补丁，应**禁用该插件**或**移除相关AJAX端点**。 🚫 **网络层**：限制对 `/wp-admin/admin-ajax.php` 中相关动作的访问。

🔥 **优先级**：**紧急**（Critical）。 📢 **行动**：CVSS 9.8分，属于**严重漏洞**，建议**立即**更新插件或采取缓解措施。