CVE-2025-47573 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入（盲注） 💥 **后果**：攻击者可窃取数据库敏感信息，甚至篡改或删除数据，导致业务瘫痪。

🔍 **CWE-89**：SQL注入 ⚠️ **缺陷点**：SQL命令中特殊元素处理不当，导致恶意代码注入。

🎯 **受影响组件**：WordPress Plugin - School Management 📦 **版本范围**：92.0.0 及之前所有版本

🕵️ **黑客能力**： - 读取数据库内容（高机密性影响） - 修改或删除数据（低可用性影响） - 无需认证即可尝试利用

🚪 **利用门槛**：低 ✅ **无需认证**：PR:N ✅ **无需交互**：UI:N ✅ **网络可达**：AV:N 📉 **复杂度**：低（AC:L）

📜 **PoC状态**：数据中未提供现成Exploit代码 🌍 **在野利用**：暂无明确在野利用报告（基于当前数据）

🔎 **自查方法**： - 检查插件版本是否为 92.0.0 或更低 - 使用SQL注入扫描器检测School Management插件接口 - 监控数据库日志中的异常查询模式

🛠️ **官方修复**：数据未提供具体补丁版本或修复链接 💡 **建议**：参考Patchstack链接获取最新修复方案或联系厂商mojoomla

🛡️ **临时规避**： - 立即升级至最新安全版本 - 若无法升级，考虑禁用该插件 - 部署WAF规则拦截SQL注入特征请求

⚡ **优先级**：高 📊 **CVSS评分**：7.5 (高危) 🔑 **关键点**：无需认证+网络可访问+高机密性影响，需立即处理！