CVE-2025-10294 — 神龙十问 AI 深度分析摘要

🚨 **本质**：身份验证绕过。插件未校验 `ownid_shared_secret` 是否为空，导致攻击者可伪造 JWT 令牌。后果：无需密码直接登录任意账号，包括管理员。

🔍 **CWE-288**：认证绕过。缺陷点在于 JWT 处理逻辑中，对共享密钥（shared secret）的验证存在逻辑漏洞，允许空值或伪造值通过。

🛡️ **受影响**：WordPress 插件 **OwnID Passwordless Login**。版本：**1.3.4 及之前版本**。厂商：victornavarro。

💥 **黑客能力**：直接接管任何用户账户（含 Admin）。无需爆破或已知凭证。一旦获取 Admin 权限，潜在导致 **RCE（远程代码执行）**。

📉 **门槛极低**：CVSS 评分极高（AV:N/AC:L/PR:N/UI:N）。无需认证、无需用户交互、网络远程即可利用。攻击简单直接。

📦 **有现成 Exp**：GitHub 上已有多个 PoC 仓库（如 h4xnz, RedFoxNxploits）。提供完整利用代码和实验室环境，在野利用风险高。

🔎 **自查方法**：检查 WordPress 插件列表，确认是否安装 **OwnID Passwordless Login**。版本若 ≤ 1.3.4，即存在高危风险。

🛠️ **官方修复**：需升级至最新安全版本。参考链接：WordPress 官方插件页及 Wordfence 威胁情报报告。目前数据未提及具体修复版本号，建议立即更新。

⚠️ **临时规避**：若无法立即升级，建议 **暂时禁用该插件**。或配置 WAF 规则，拦截异常的 JWT 头部请求及 `/wp-login.php` 相关异常流量。

🔥 **优先级：紧急**。CVSS 满分级风险，直接导致后台接管。建议 **立即** 升级插件或禁用，防止被自动化脚本批量利用。