CVE-2025-54720 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入漏洞。 💥 **后果**：攻击者可非法获取数据库敏感信息，甚至篡改或删除数据，严重威胁网站安全。

🔍 **CWE**：CWE-89 (SQL注入)。 🐛 **缺陷**：特殊元素处理不当，导致输入数据被错误解析为SQL指令。

🎯 **组件**：WordPress插件 Nest Addons。 📦 **版本**：1.6.3 及之前所有版本。 🏢 **厂商**：SteelThemes。

🕵️ **权限**：无需认证即可利用。 💾 **数据**：可读取数据库中的高敏感信息（如用户凭据、配置），并可能修改数据。

📉 **门槛**：极低。 🔓 **条件**：网络访问即可 (AV:N)，无需用户交互 (UI:N)，无需权限 (PR:N)。

📜 **现状**：数据中未提供现成 PoC 或确切的在野利用报告。 ⚠️ **注意**：虽无公开Exp，但CVSS评分高，风险极大，切勿抱有侥幸心理。

🔎 **自查**：检查WordPress后台插件列表。 👀 **特征**：确认是否安装了 **Nest Addons** 插件，且版本号 **≤ 1.6.3**。

🛡️ **补丁**：官方已发布安全通告。 ✅ **行动**：请立即升级至修复后的最新版本（参考 Patchstack 链接）。

🚧 **临时规避**：若无法立即升级，建议暂时 **停用** 该插件。 🔒 **替代**：寻找功能相似的替代插件，或限制插件目录的访问权限。

🔥 **优先级**：**紧急**。 📊 **评分**：CVSS 3.1 高分（向量含 S:C, C:H）。 💡 **建议**：立即修复，防止数据泄露。