CVE-2024-32444 — 神龙十问 AI 深度分析摘要

🚨 **本质**：权限分配不当（Privilege Escalation）。<br>🔥 **后果**：攻击者可任意提升权限，完全接管网站后台。

🛡️ **CWE**：CWE-266（权限分配不当）。<br>🔍 **缺陷**：注册接口 `inspiry_ajax_register` 未校验授权，缺失 **Nonce** 验证。

🏢 **厂商**：InspiryThemes。<br>📦 **产品**：WordPress 主题/插件 **RealHomes**。<br>📉 **版本**：**4.3.6** 及之前所有版本。

👑 **权限**：直接获取 **Administrator**（管理员）角色。<br>💾 **数据**：CVSS评分极高（C:H/I:H/A:H），可读取、篡改数据甚至删除网站。

📶 **门槛**：**极低**。<br>🔓 **条件**：无需认证（PR:N），攻击向量网络（AV:N），无需用户交互（UI:N）。<br>⚙️ **前提**：网站开启了用户注册功能。

💻 **PoC**：有！GitHub 上已有检测模板（rxerium/CVE-2024-32444）。<br>⚠️ **状态**：截至2025年1月24日，**无官方补丁**，PoC 主要用于产品检测。

🔍 **自查**：检查是否使用 RealHomes 主题且版本 ≤ 4.3.6。<br>🌐 **特征**：访问注册接口，看是否允许直接传入 `role=administrator` 参数。

🚫 **补丁**：**暂无**。<br>📅 **时间**：2025-09-03 发布 CVE，但 PoC 说明截至 2025-01 仍无修复。需密切关注厂商动态。

🛡️ **规避**：<br>1. **禁用**网站的用户注册功能。<br>2. 若必须开放，手动添加 **Nonce** 校验逻辑（需开发介入）。<br>3. 限制注册接口访问 IP。

🔥 **优先级**：**紧急 (Critical)**。<br>💡 **理由**：CVSS 满分风险，无需认证即可提权，且目前**无补丁**。建议立即采取临时规避措施！