CVE-2026-4119 — 神龙十问 AI 深度分析摘要

🚨 **本质**：缺少权限检查 + 无随机数验证（CSRF缺失）。 💥 **后果**：攻击者可**创建或删除任意数据库表**，导致数据完整性与可用性严重受损。

🔍 **CWE-862**：缺少必要的授权访问控制。 🐛 **缺陷点**：关键操作未校验用户权限，且未使用 Anti-CSRF Token 验证请求合法性。

📦 **组件**：WordPress 插件 **Create DB Tables**。 🏷️ **厂商**：jppreus。 📉 **版本**：**1.2.1 及之前版本**均受影响。

🔓 **权限**：需经过身份验证（Authenticated）。 💾 **数据**：可**任意创建**新表，或**恶意删除**现有表，直接破坏网站数据库结构。

⚠️ **门槛**：中等。 ✅ **条件**：攻击者需拥有**WordPress 登录账号**（无需管理员权限，具体视插件角色定义，但需认证）。 🚫 **无需**：用户交互（UI:N）或复杂配置。

🚫 **Exp/PoC**：当前**无公开**现成利用代码。 📝 **状态**：暂无在野利用报告（0-day 风险低，但逻辑漏洞明确）。

🔎 **自查**：检查 WP 后台插件列表，确认是否安装 **Create DB Tables**。 📊 **版本**：核对版本号是否 **≤ 1.2.1**。 🛠️ **扫描**：使用 WAF 或漏洞扫描器检测该插件路径。

🛡️ **补丁**：数据未提供具体补丁版本。 💡 **建议**：立即联系厂商 **jppreus** 获取更新，或查看官方 Trac 仓库是否有新版本发布。

🚧 **临时规避**： 1. **禁用/卸载**该插件（最推荐）。 2. 限制 WordPress 用户注册，减少潜在攻击面。 3. 配置 WAF 拦截针对该插件 API 的异常 POST 请求。

🔥 **优先级**：**高 (High)**。 📈 **CVSS**：3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H。 ⚖️ **理由**：虽然需要认证，但**影响范围极大**（I:H, A:H），直接破坏数据库结构，建议尽快处理。