CVE-2025-46460 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入（SQLi）。 💥 **后果**：攻击者可非法读取、篡改或破坏数据库内容，导致数据泄露。

🔍 **CWE**：CWE-89 (SQL注入)。 🐛 **缺陷**：特殊元素**中和不当**，导致恶意SQL代码被数据库执行。

🎯 **厂商**：Detheme。 📦 **产品**：WordPress插件 **Easy Guide**。 📅 **版本**：**1.0.0** 及之前所有版本。

🕵️ **黑客能力**： - **高机密性**：窃取敏感数据。 - **部分可用性**：可能导致服务异常。 - **无完整性**：直接修改数据库。

📉 **门槛极低**。 - **网络访问**：远程利用 (AV:N)。 - **复杂度**：低 (AC:L)。 - **权限**：无需认证 (PR:N)。 - **交互**：无需用户操作 (UI:N)。

🚫 **暂无**。 - **PoC**：数据中未提供。 - **在野利用**：未知。 - **参考**：Patchstack 数据库条目。

🔎 **自查方法**： - 检查 WP 插件列表，确认是否安装 **Easy Guide**。 - 确认版本是否 **≤ 1.0.0**。 - 扫描工具检测 SQL 注入特征。

🛡️ **官方状态**： - 漏洞已公开 (2025-05-23)。 - 建议立即前往 **Patchstack** 或厂商页面查看是否有更新补丁。

🚧 **临时规避**： - **停用/卸载**该插件。 - 配置 **WAF** 拦截 SQL 注入请求。 - 限制数据库账户权限。

🔥 **优先级：高**。 - **CVSS**：严重级别 (AV:N/AC:L/PR:N)。 - **建议**：立即排查版本，尽快升级或移除插件，防止数据泄露。