CVE-2025-26974 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入 (SQLi)。 📉 **后果**：攻击者可窃取数据库敏感信息，甚至篡改或删除数据，导致网站瘫痪或数据泄露。

🛡️ **CWE-89**：SQL注入漏洞。 🔍 **缺陷点**：插件对**特殊元素**的中和处理不当，导致恶意SQL代码被执行。

📦 **组件**：WordPress Plugin **WP Multi Store Locator**。 🏢 **厂商**：WPExperts.io。 📅 **版本**：**2.5.1** 及之前所有版本。

👮 **权限**：无需认证 (PR:N)。 💾 **数据**：高机密性风险 (C:H)，可读取数据库全部内容。 ⚙️ **系统**：中等可用性风险 (A:L)，可能导致服务中断。

🚪 **门槛**：**极低**。 🔑 **认证**：无需登录 (PR:N)。 🖱️ **交互**：无需用户操作 (UI:N)。 🌐 **网络**：网络远程利用 (AV:N)。

📜 **Exp**：当前数据中 **PoCs 为空** (pocs: [])。 🌍 **在野**：暂无公开在野利用报告，但CVSS评分高，风险极大。

🔍 **自查**：扫描目标是否运行 **WP Multi Store Locator** 插件。 📋 **版本**：确认版本是否 **≤ 2.5.1**。 🛠️ **工具**：使用WAF或SQL注入扫描器检测参数注入点。

🩹 **补丁**：官方已发布修复建议。 🔗 **参考**：Patchstack 已收录该漏洞详情 (2025-02-25 发布)。 ✅ **行动**：请前往官方渠道获取 **2.5.1 之后** 的安全版本。

🚧 **临时规避**： 1️⃣ **禁用插件**：立即停用 WP Multi Store Locator。 2️⃣ **WAF防护**：配置Web应用防火墙拦截SQL注入特征。 3️⃣ **输入过滤**：若必须使用，严格过滤用户输入的特殊字符。

🔥 **优先级**：**紧急 (Critical)**。 📊 **CVSS**：高分漏洞，远程无需认证即可利用。 ⚡ **建议**：立即升级插件或采取临时缓解措施，防止数据泄露。