CVE-2025-26875 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入 (SQLi)。 💥 **后果**：攻击者可窃取数据库敏感信息，甚至篡改或删除数据，导致网站瘫痪或数据泄露。

🔍 **CWE**：CWE-89 (SQL注入)。 🔧 **缺陷点**：SQL命令中特殊元素处理不当，未对用户输入进行严格过滤或参数化。

🎯 **组件**：WordPress插件 `Multiple Shipping And Billing Address For Woocommerce`。 📦 **版本**：版本 **1.3** 及之前版本均受影响。

🕵️ **权限**：无需认证 (PR:N)。 📊 **数据**：可读取数据库全部数据 (C:H)，可能修改数据 (I:N)，影响服务可用性 (A:L)。

🚪 **门槛**：极低。 📝 **配置**：无需认证 (PR:N)，无需用户交互 (UI:N)，网络远程即可利用 (AV:N)。

📦 **Exp**：数据中未提供现成PoC。 🌍 **在野**：暂无公开在野利用报告，但CVSS评分高，风险极大。

🔎 **自查**：检查WordPress后台插件列表。 🔍 **特征**：确认是否安装 `Multiple Shipping And Billing Address For Woocommerce` 且版本 ≤ 1.3。

🛡️ **补丁**：建议升级至修复后的最新版本。 📢 **来源**：参考 Patchstack 官方安全公告获取更新指引。

🚧 **临时规避**：若无法立即升级，建议暂时**禁用**该插件。 🔒 **防御**：部署WAF规则拦截SQL注入特征请求。

⚡ **优先级**：紧急 (Critical)。 📈 **理由**：CVSS 3.1 高分，远程无认证即可利用，直接威胁核心数据库安全。