CVE-2025-28904 — 神龙十问 AI 深度分析摘要

🚨 **本质**：盲SQL注入漏洞。<br>🔥 **后果**：攻击者可窃取数据库敏感信息，甚至篡改或删除数据，严重威胁网站安全。

🛡️ **CWE-89**：SQL注入。<br>🔍 **缺陷点**：SQL命令中特殊元素处理不当，导致恶意代码注入。

📦 **产品**：WordPress plugin Web Directory Free。<br>👤 **厂商**：Shamalli。<br>📅 **版本**：1.7.6 及之前版本。

💻 **权限**：无需认证。<br>📊 **数据**：可读取数据库内容（C:H），可能导致信息泄露或进一步攻击。

🚪 **门槛**：极低。<br>🔑 **条件**：网络访问（AV:N）、低复杂度（AC:L）、无需权限（PR:N）、无需用户交互（UI:N）。

📜 **PoC**：数据中未提供具体利用代码。<br>🌍 **在野**：暂无明确在野利用报告，但CVSS评分高，风险极大。

🔎 **自查**：检查插件版本是否为 1.7.6 或更低。<br>📡 **扫描**：使用WAF或漏洞扫描器检测SQL注入特征。

🔧 **补丁**：建议升级至修复版本。<br>📖 **参考**：Patchstack 提供了详细漏洞描述和修复建议。

⚠️ **临时规避**：若无法升级，可考虑禁用该插件或限制访问权限。<br>🛡️ **防护**：部署WAF规则过滤恶意SQL载荷。

🔥 **优先级**：高。<br>📈 **理由**：CVSS评分高，无需认证即可利用，影响范围广，需立即关注。