CVE-2024-8420 — 神龙十问 AI 深度分析摘要

🚨 **本质**：角色字段未过滤，允许用户注册时自定义角色。 💥 **后果**：导致**权限提升**，普通用户可伪装成管理员。

🔍 **CWE-266**：权限管理错误。 📍 **缺陷点**：注册接口直接接受并信任用户提交的**角色字段**，缺乏后端校验。

📦 **产品**：WordPress 插件 **DHVC Form**。 🏢 **厂商**：SiteSao。 📅 **版本**：**2.4.7** 及之前所有版本。

👑 **权限**：从普通用户提升至**管理员/高权限角色**。 📊 **数据**：CVSS 评分极高（C:H/I:H/A:H），意味着可完全控制网站数据、配置及执行任意操作。

🚪 **门槛**：**极低**。 🔑 **认证**：**无需认证**（PR:N）。 🌐 **网络**：远程利用（AV:N）。 ⚡ **复杂度**：低（AC:L）。

📜 **PoC**：当前数据中 **暂无** 公开 PoC 或 Exploit 代码。 🌍 **在野**：暂无在野利用报告。

🔎 **自查**：检查 WordPress 后台插件列表。 📋 **特征**：确认是否安装 **DHVC Form** 且版本 **≤ 2.4.7**。 🛠 **工具**：使用 WPScan 或厂商官方链接验证版本。

🛡️ **补丁**：数据未提供具体补丁链接，但明确指出 **2.4.7 及之前** 存在漏洞。 ✅ **建议**：立即联系厂商 SiteSao 或查看 CodeCanyon 页面获取**最新版本**更新。

🚧 **临时规避**： 1️⃣ **禁用**该插件的注册功能。 2️⃣ 修改表单配置，**隐藏/禁用**角色选择字段。 3️⃣ 严格限制用户注册权限，仅允许管理员创建账户。

⚠️ **优先级**：**紧急 (Critical)**。 📈 **理由**：CVSS 满分风险，无需认证即可提权，直接威胁网站控制权。建议**立即修复**。