CVE-2025-24773 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WPCRM 插件存在 **SQL注入** 漏洞。 💥 **后果**：攻击者可非法访问数据库，窃取敏感数据或篡改系统信息。

🔍 **CWE**：CWE-89 (SQL注入)。 🐛 **缺陷**：插件未对用户输入进行充分过滤，导致恶意 SQL 代码被执行。

📦 **组件**：WPCRM - CRM for Contact form CF7 & WooCommerce。 🏢 **厂商**：mojoomla。 📉 **版本**：**3.2.0 及之前版本**均受影响。

🕵️ **权限**：无需认证（PR:N）。 📊 **数据**：可读取高敏感数据（C:H），包括用户隐私、CRM 记录等。 ⚠️ **影响**：虽主要影响机密性，但也可能导致完整性受损。

🚪 **门槛**：**极低**。 ✅ **认证**：无需登录（PR:N）。 🖱️ **交互**：无需用户操作（UI:N）。 🌐 **网络**：远程利用（AV:N）。

🧪 **Exp**：当前 **无公开 PoC**（pocs 为空）。 🌍 **在野**：暂无在野利用报告，但风险极高，需警惕。

🔎 **自查**：检查 WordPress 后台插件列表。 📋 **特征**：确认是否安装 **WPCRM** 插件。 📅 **版本**：核对版本号是否 **≤ 3.2.0**。

🛡️ **补丁**：官方已发布修复建议。 🔗 **参考**：Patchstack 已收录该漏洞详情。 🔄 **行动**：请立即升级至 **3.2.1 或更高版本**。

⏸️ **临时规避**：若无法立即升级，建议 **暂时禁用** WPCRM 插件。 🚫 **限制**：限制插件目录的写入权限，防止恶意代码注入。

🔥 **优先级**：**紧急**。 📈 **CVSS**：3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:L。 💡 **建议**：由于无需认证且影响机密性，建议 **立即修复**，避免数据泄露。