CVE-2026-24993 — 神龙十问 AI 深度分析摘要

🚨 **本质**：盲SQL注入（Blind SQLi）。 📉 **后果**：攻击者可通过构造恶意输入，间接窃取数据库敏感信息，导致数据泄露。

🔍 **CWE**：CWE-89 (SQL注入)。 🐛 **缺陷**：特殊元素中和不当，导致用户输入未被正确过滤或转义，直接拼接到SQL查询中。

🎯 **厂商**：WPFactory。 📦 **产品**：Advanced WooCommerce Product Sales Reporting。 ⚠️ **版本**：4.1.3 及之前所有版本。

💀 **权限**：无需认证（PR:N）。 📊 **数据**：高机密性破坏（C:H），可读取数据库内容；低可用性影响（A:L）。

📶 **门槛**：极低。 🔓 **条件**：网络可访问（AV:N），攻击复杂度低（AC:L），无需用户交互（UI:N）。

🧪 **Exp**：数据中 `pocs` 字段为空，暂无公开PoC。 🌍 **在野**：未提及在野利用情况，但CVSS评分高，风险极大。

🔎 **自查**：检查WordPress站点是否安装该插件。 📋 **版本**：确认版本号为 4.1.3 或更低。

🛡️ **补丁**：数据未提供具体补丁链接或版本号。 🔄 **建议**：参考官方参考链接（Patchstack）获取最新修复方案或升级指引。

🚧 **规避**：若无补丁，建议暂时**禁用**该插件。 🔒 **限制**：限制对WordPress后台及数据库接口的网络访问权限。

🔥 **优先级**：紧急。 📈 **评分**：CVSS 3.1 高分（向量显示高机密性、低攻击成本、无权限要求），需立即处置。