CVE-2026-25377 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入 (SQLi)。 💥 **后果**：攻击者可绕过安全机制，非法读取、修改或删除数据库中的敏感数据，甚至可能获取服务器控制权。

🔍 **CWE**：CWE-89 (SQL注入)。 🛠️ **缺陷点**：SQL命令中**特殊元素处理不当**，导致恶意输入被当作代码执行。

📦 **组件**：WordPress Plugin **Addon Jobsearch Chat**。 🏢 **厂商**：eyecix。 📅 **版本**：**3.0 及之前版本**均受影响。

👮 **权限**：无需认证 (PR:N)。 📊 **数据**：高机密性泄露 (C:H)，可窃取用户数据、聊天记录等。 ⚠️ **影响**：系统完整性无直接破坏 (I:N)，但可用性可能受损 (A:L)。

🚪 **门槛**：**极低**。 ✅ **条件**：网络访问 (AV:N)、低复杂度 (AC:L)、无需权限 (PR:N)、无需用户交互 (UI:N)。

📜 **Exp/PoC**：当前数据中 **pocs 为空**，暂无公开现成利用代码。 🌍 **在野**：数据未提及在野利用情况。

🔎 **自查**：检查 WordPress 后台插件列表，确认是否安装 **Addon Jobsearch Chat**。 📋 **版本**：核对版本号是否 **≤ 3.0**。

🛡️ **补丁**：数据未提供具体补丁链接或修复版本。 📝 **建议**：参考 Patchstack 官方链接获取最新修复方案。

⚠️ **临时规避**：若无法立即升级，建议**暂时禁用或卸载**该插件，直到官方发布安全更新。

🔥 **优先级**：**高**。 💡 **理由**：CVSS 评分高，利用条件极其宽松（无需认证），且涉及核心数据库安全，需**立即行动**。