CVE-2025-24759 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入（盲注）。<br>🔥 **后果**：攻击者可绕过逻辑，非法获取数据库敏感信息，甚至控制服务器。

🛡️ **CWE-89**：SQL注入漏洞。<br>🔍 **缺陷**：SQL命令特殊元素处理不当，导致输入数据被当作代码执行。

📦 **组件**：WordPress插件 WP-BusinessDirectory。<br>🏢 **厂商**：CMSJunkie。<br>📉 **版本**：3.1.3 及之前所有版本。

💻 **权限**：无需认证（PR:N）。<br>📂 **数据**：高机密性泄露（C:H），可读取数据库内容。<br>⚠️ **影响**：系统完整性可能受损（A:L）。

🚪 **门槛**：极低。<br>🌐 **网络**：远程利用（AV:N）。<br>🎯 **复杂度**：低（AC:L），无需用户交互（UI:N）。

📜 **Exp**：数据中未提供现成PoC或确切的在野利用报告。<br>⚠️ **注意**：盲注通常需时间测试，但风险极高。

🔍 **自查**：检查WP后台插件列表。<br>📋 **特征**：确认是否安装 WP-BusinessDirectory。<br>🔎 **版本**：核对版本号是否 ≤ 3.1.3。

🛠️ **补丁**：官方已发布修复建议。<br>📅 **时间**：2025-07-16 披露。<br>✅ **行动**：立即升级至最新版本。

🚧 **临时规避**：<br>1. 暂时禁用该插件。<br>2. 配置WAF拦截SQL关键字。<br>3. 限制插件API接口访问权限。

🔥 **优先级**：高。<br>📈 **CVSS**：3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:L。<br>💡 **建议**：远程、无认证、高数据泄露风险，建议 **立即修复**。