CVE-2025-32603 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入 (SQLi)。 💥 **后果**：攻击者可执行恶意SQL命令，导致**盲SQL注入**，危及数据库安全。

🔍 **CWE-89**：SQL注入。 ⚠️ **缺陷**：SQL命令中**特殊元素处理不当**，未正确过滤或转义用户输入。

📦 **产品**：WP Online Users Stats。 🏷️ **版本**：1.0.0 及**之前版本**。 🌐 **平台**：WordPress 插件。

🕵️ **黑客能力**： - 读取/篡改数据库内容。 - 利用**盲注**技术逐步窃取敏感数据。 - 可能影响网站完整性。

📉 **门槛低**。 🔓 **无需认证** (PR:N)。 🌍 **远程利用** (AV:N)。 ⚡ **攻击简单** (AC:L)。 👤 **无需用户交互** (UI:N)。

❓ **未知**。 📄 数据中 **pocs 为空**。 🔗 参考链接指向 Patchstack 数据库，但未提供具体 Exploit 代码或**在野利用**证据。

🔎 **自查方法**： - 检查 WP 后台是否安装 **WP Online Users Stats**。 - 确认版本是否 **≤ 1.0.0**。 - 扫描 SQL 注入特征（如报错、时间延迟）。

🛡️ **官方修复**： - 数据未提及具体补丁版本。 - 建议立即联系厂商或查看 **Patchstack** 链接获取最新修复方案。 - 核心是**更新到安全版本**。

🚧 **临时规避**： - **停用/卸载**该插件。 - 配置 WAF 拦截 SQL 注入请求。 - 限制数据库权限，最小化潜在损害。

🔥 **优先级：高**。 📊 **CVSS 3.1**： - **C:H** (机密性高) - **S:C** (影响范围扩大) - **A:L** (可用性低) ⚠️ 无需认证即可远程利用，建议**立即行动**。