CVE-2025-69337 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Wolmart Core 插件存在 **SQL注入** 漏洞。 💥 **后果**：攻击者可利用 **盲注** 窃取数据库敏感信息，甚至控制站点。

🔍 **CWE-89**：SQL注入缺陷。 📉 **根源**：特殊元素 **中和不当**，导致输入数据被恶意解析执行。

📦 **组件**：WordPress 插件 Wolmart Core。 🏷️ **厂商**：don-themes。 ⚠️ **版本**：**1.9.6 及之前版本** 均受影响。

👁️ **数据泄露**：通过盲注读取数据库内容（**C:H** 高机密性影响）。 🔓 **权限**：虽未直接提 RCE，但 SQL 注入通常可进一步提权或篡改数据（**I:N** 完整性影响低，但风险极高）。

🚪 **门槛低**：CVSS 显示 **AV:N** (网络), **AC:L** (低复杂度), **PR:N** (无需认证)。 👤 **无需登录**：匿名用户即可发起攻击。

📄 **PoC**：当前漏洞库中 **pocs 为空**，暂无公开现成 Exp。 🌍 **在野**：数据未提及在野利用，但需警惕。

🔎 **自查**：检查 WordPress 插件列表，确认是否安装 **Wolmart Core**。 📋 **版本核对**：确认版本号是否 **≤ 1.9.6**。

🛡️ **补丁**：建议升级至 **1.9.7 或更高版本**（官方通常修复此类漏洞）。 🔗 **参考**：Patchstack 已收录该漏洞详情。

🚧 **临时规避**：若无法立即升级，可考虑 **停用该插件**。 🛑 **WAF**：部署 Web 应用防火墙拦截 SQL 注入特征请求。

⚡ **优先级**：**高**。 📊 **评分**：CVSS 3.1 分数较高（基于向量推断），且 **无需认证**，攻击面大，建议 **立即修复**。