CVE-2024-3605 — 神龙十问 AI 深度分析摘要
CVSS 10.0 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:SQL注入漏洞 (SQL Injection) 💥 **后果**:攻击者可从数据库**提取敏感信息**,导致数据泄露。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-89 (SQL注入) 🐛 **缺陷**:对用户参数**转义不足**,且SQL查询**准备不足**。
Q3影响谁?(版本/组件)
📦 **组件**:WordPress插件 **WP Hotel Booking** 📅 **版本**:**2.1.0** 及之前所有版本。
Q4黑客能干啥?(权限/数据)
🕵️ **权限**:**未认证** (Unauthenticated) 攻击者即可利用。 💾 **数据**:可**提取数据库中的敏感信息**。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:**极低**。 ✅ **无需登录**,无需任何认证即可发起攻击。
Q6有现成Exp吗?(PoC/在野利用)
💻 **PoC**:有现成利用代码。 🔗 参考:GitHub上的 **CVE-2024-3605** 脚本。
Q7怎么自查?(特征/扫描)
🔎 **特征**:检测 REST API 端点 `/wphb/v1/rooms/search-rooms`。 ⚠️ 重点检查参数 **`room_type`** 是否存在注入点。
Q8官方修了吗?(补丁/缓解)
🛡️ **修复**:官方已发布修复版本。 👉 请升级至 **2.1.1** 或更高版本(参考官方变更集)。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**:若无法立即升级,建议**禁用**受影响的 REST API 端点,或实施严格的**WAF规则**拦截恶意SQL载荷。
Q10急不急?(优先级建议)
🔥 **优先级**:**高**。 ⚡ CVSS评分极高 (AV:N/AC:L/PR:N/UI:N),无需认证即可远程利用,建议**立即修复**。