CVE-2025-23931 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WordPress Local SEO 插件存在 **SQL注入 (SQLi)** 漏洞。 💥 **后果**：攻击者可非法访问、篡改或销毁数据库内容，严重威胁网站数据安全。

🔍 **CWE-89**：SQL注入漏洞。 🛠️ **缺陷点**：SQL命令中使用的特殊元素**中和不当**，导致恶意输入被当作代码执行。

📦 **产品**：WordPress Local SEO 插件。 👤 **厂商**：Oliver Fuhrmann。 ⚠️ **版本**：**2.3版本及之前**的所有版本均受影响。

🕵️ **权限**：无需认证即可利用。 📂 **数据**：可读取敏感数据库信息（C:H），甚至可能修改数据或执行系统命令（取决于数据库配置）。

🚪 **门槛**：**极低**。 📋 **条件**：网络访问 (AV:N)、低复杂度 (AC:L)、无需权限 (PR:N)、无需用户交互 (UI:N)。

📜 **PoC**：漏洞数据中 **pocs 字段为空**，暂无公开现成利用代码。 🌍 **在野**：数据未提及在野利用情况，但CVSS评分高，风险极大。

🔎 **自查**：检查插件版本是否为 **2.3或更低**。 📡 **扫描**：使用WAF或漏洞扫描器检测SQL注入特征，重点关注 Local SEO 相关参数。

🛡️ **补丁**：数据中未提供具体补丁链接或版本号。 🔗 **参考**：建议访问 Patchstack 官方页面获取最新修复方案。

🚧 **临时规避**：立即**升级**插件至最新版本。 🚫 **降级**：若无法升级，考虑**暂时禁用**该插件，或配置WAF拦截SQL注入请求。

🔥 **优先级**：**高**。 📊 **CVSS**：3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:L，属于**高危**漏洞，需立即处理。