CVE-2025-24664 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入 (SQLi)。 💥 **后果**：攻击者可绕过安全机制，非法读取、修改或删除数据库中的敏感数据。

🛡️ **CWE**：CWE-89 (SQL注入)。 🔍 **缺陷点**：SQL命令中使用的特殊元素**中和不当**，导致恶意输入被当作代码执行。

📦 **产品**：LTL Freight Quotes – Worldwide Express Edition。 🏢 **厂商**：enituretechnology。 ⚠️ **版本**：**5.0.20** 及之前所有版本。

👮 **权限**：无需认证 (PR:N)。 📊 **数据**：高机密性泄露 (C:H)，可能涉及用户信息、订单数据等核心业务数据。

🚪 **门槛**：**极低**。 🌐 **向量**：网络远程 (AV:N)。 🎯 **复杂度**：低 (AC:L)。 👤 **交互**：无需用户交互 (UI:N)。

🧪 **PoC**：数据中未提供公开 PoC。 🌍 **在野**：暂无明确在野利用报告（基于当前数据）。

🔍 **自查**：检查 WordPress 插件列表，确认是否安装 **LTL Freight Quotes**。 📋 **版本**：核实版本号是否 **≤ 5.0.20**。

🛠️ **补丁**：官方已发布修复建议。 🔗 **参考**：Patchstack 已收录该漏洞详情及修复指引。

🚧 **临时规避**：若无法立即升级，建议**暂时禁用**该插件。 🔒 **WAF**：配置 Web 应用防火墙拦截常见的 SQL 注入特征 payload。

🔥 **优先级**：**高**。 ⚡ **理由**：CVSS 评分高，远程无需认证即可利用，直接威胁数据机密性。建议**立即升级**至最新版本。