CVE-2026-0953 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Tutor LMS Pro 插件未校验 OAuth 令牌中的邮箱与登录请求邮箱是否一致。 💥 **后果**：攻击者可**伪造身份**，以任意现有用户账号登录系统。

🔍 **CWE-287**：身份验证控制不当。 📍 **缺陷点**：OAuth 回调处理逻辑缺失**邮箱匹配验证**，导致令牌被滥用。

📦 **厂商**：Themeum。 📉 **版本**：Tutor LMS Pro **3.9.5 及之前**所有版本。

👤 **权限**：获取**任意现有用户**身份（包括管理员？需结合具体用户存在性）。 📂 **数据**：可访问该用户权限内的所有课程、数据及隐私信息。

📶 **利用门槛**：**极低**。 🔑 **条件**：无需认证 (PR:N)，无需用户交互 (UI:N)，网络远程即可利用 (AV:N)。

🧪 **Exp/PoC**：当前数据中 **无** 公开 PoC。 🌍 **在野利用**：暂无明确在野利用报告，但 CVSS 评分高，风险极大。

🔎 **自查**：检查 WordPress 后台插件列表。 📋 **特征**：确认是否安装 **Tutor LMS Pro** 且版本号 **≤ 3.9.5**。

🛡️ **官方修复**：参考链接指向 Tutor LMS 发布页 (id/393)，建议立即前往官网检查是否有 **3.9.6+** 或更高安全补丁。

🚧 **临时规避**：若无法升级，建议**暂时禁用**该插件，或严格限制 WordPress 用户注册权限，减少“现有用户”基数。

⚡ **优先级**：**紧急**。 📊 **CVSS**：**9.1 (Critical)**。高机密性、完整性、可用性影响，必须立即处理。