CVE-2025-47682 — 神龙十问 AI 深度分析摘要
CVSS 9.3 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:SQL注入 (SQLi)。 💥 **后果**:攻击者可绕过安全机制,非法访问或篡改数据库中的敏感信息,导致数据泄露。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-89 (SQL注入)。 🐛 **缺陷点**:**特殊元素中和不当**。输入数据未正确转义或过滤,导致SQL逻辑被篡改。
Q3影响谁?(版本/组件)
📦 **组件**:WordPress Plugin **SMS Alert Order Notifications – WooCommerce**。 📉 **版本**:**3.8.2 及之前版本**。
Q4黑客能干啥?(权限/数据)
🕵️ **权限**:无需认证 (PR:N)。 📊 **数据**:高机密性破坏 (C:H),可读取数据库内容;低完整性/可用性影响。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:**极低**。 📝 **条件**:网络访问 (AV:N),低复杂度 (AC:L),无需用户交互 (UI:N),无需权限 (PR:N)。
Q6有现成Exp吗?(PoC/在野利用)
📜 **PoC**:数据中 **pocs 为空**,暂无公开利用代码。 🌍 **在野**:未提及在野利用情况。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查 WordPress 插件列表。 🔍 **特征**:确认是否安装 **SMS Alert Order Notifications** 且版本 **≤ 3.8.2**。
Q8官方修了吗?(补丁/缓解)
🛡️ **补丁**:数据未提供具体补丁版本或修复链接。 ⚠️ **建议**:参考 Patchstack 官方链接获取最新修复方案。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**:若无法立即升级,建议**暂时禁用**该插件。 🔒 **防护**:部署 WAF 规则拦截 SQL 注入特征请求。
Q10急不急?(优先级建议)
⚡ **优先级**:**高**。 📈 **理由**:CVSS 评分高,利用条件极低(无需认证),直接威胁数据库安全,需立即行动。