CVE-2025-32665 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Office Locator 插件存在 **SQL注入 (SQLi)** 漏洞。 💥 **后果**：攻击者可非法访问、篡改或 **删除数据库** 中的敏感信息，甚至可能接管服务器。

🔍 **CWE-89**：SQL注入。 🐛 **缺陷点**：插件对 **特殊元素中和不当**，导致恶意 SQL 代码未被正确过滤，直接执行。

🎯 **受影响组件**：WordPress 插件 **Office Locator**。 📦 **风险版本**：版本 **1.3.0 及之前** 的所有版本。

🕵️ **黑客权限**：利用 **CVSS 3.1** 评分，攻击者无需认证即可获取 **高机密性 (C:H)** 影响，可能导致数据泄露。

🚪 **利用门槛**：**极低**。 📊 **CVSS向量**：攻击向量网络 (AV:N)、攻击复杂度低 (AC:L)、无需权限 (PR:N)、无需用户交互 (UI:N)。

📜 **现成Exp**：根据提供的数据，**暂无** 公开的 PoC 或确凿的在野利用报告 (pocs 为空)。

🔎 **自查方法**：检查 WordPress 后台插件列表，确认是否安装 **Office Locator** 且版本 **≤ 1.3.0**。

🛠️ **官方修复**：数据中未提供具体补丁链接或修复版本，建议参考 Patchstack 提供的 **vdb-entry** 链接获取最新指引。

⚠️ **临时规避**：若无法立即升级，建议 **禁用/卸载** 该插件，或配置 WAF 规则拦截包含 SQL 关键字的异常请求。

🔥 **优先级**：**高**。 📈 **理由**：CVSS 评分显示 **无需认证** 且 **机密性影响高**，属于高危远程漏洞，建议 **立即** 排查并修复。