CVE-2024-51818 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入 (SQLi)。 💥 **后果**：攻击者可注入恶意SQL命令，导致数据库敏感信息泄露。

🔍 **CWE**：CWE-89 (SQL注入)。 🛠️ **缺陷**：用户输入参数**未正确转义**，且SQL查询**缺乏充分预处理**。

📦 **组件**：WordPress插件 **Fancy Product Designer**。 🏢 **厂商**：radykal。 📅 **版本**：**6.4.3** 及更早版本。

🕵️ **权限**：**未授权** (Unauthenticated)。 💾 **数据**：可提取数据库中的**敏感信息**。 ⚖️ **影响**：机密性高 (C:H)，完整性无影响 (I:N)，可用性低 (A:L)。

🚪 **门槛**：**极低**。 ✅ **认证**：**无需登录** (Unauthenticated)。 🌐 **访问**：网络可访问即可利用 (AV:N, AC:L, PR:N, UI:N)。

💻 **PoC**：**有**。 🔗 **来源**：GitHub (RandomRobbieBF/CVE-2024-51818)。 📝 **描述**：针对 <=6.4.3 版本的未授权SQL注入利用代码。

🔎 **自查**：检查WordPress站点是否安装 **Fancy Product Designer** 插件。 📊 **版本**：确认版本是否 **≤ 6.4.3**。 📡 **扫描**：使用支持CVE-2024-51818特征的漏洞扫描器。

🛡️ **补丁**：数据未提供具体补丁链接。 💡 **建议**：参考 Patchstack 官方数据库条目获取修复方案。 🔄 **动作**：升级至修复后的安全版本。

⚠️ **临时规避**：若无法立即升级，应**限制插件访问权限**。 🚫 **措施**：通过WAF拦截SQL注入特征请求，或暂时**禁用**该插件。

🔥 **优先级**：**高**。 📉 **理由**：**未授权**利用 + **高机密性**影响 + **已有PoC**。 🚀 **行动**：立即排查并修复，防止数据泄露。