CVE-2021-24340 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WordPress 插件 **WP Statistics** 存在 **SQL注入** 漏洞。 💥 **后果**：攻击者可执行 **任意SQL查询**，直接操控数据库。

🔍 **CWE**：**CWE-89** (SQL注入)。 📍 **缺陷点**：插件在处理请求时未对输入进行充分过滤，导致恶意SQL代码注入。

📦 **组件**：**WP Statistics** 插件。 🏢 **厂商**：**VeronaLabs**。 📉 **版本**：**1.0** 至 **2.2.3** 均受影响（包括 2.1.x 和 2.2.x 系列）。

🕵️ **黑客能力**： 1. 读取数据库敏感信息。 2. 修改或删除数据。 3. 可能获取服务器控制权（取决于数据库权限）。

🔓 **利用门槛**：**低**。 👤 **认证**：**无需认证** (Unauthenticated)。 🌐 **配置**：远程攻击者即可触发，无需登录后台。

💻 **PoC**：有现成模板。 🔗 **来源**：ProjectDiscovery **Nuclei** 模板库已收录。 ⚠️ **在野**：WordFence 报告超 **60万** 站点受影响，风险极高。

🔎 **自查方法**： 1. 检查插件版本是否 < **13.0.8**（注：描述中列出的旧版本均高危）。 2. 使用 Nuclei 扫描 CVE-2021-24340 模板。 3. 监测数据库日志中的异常 SQL 查询。

🛡️ **官方修复**： ✅ **补丁**：升级至版本 **13.0.8** 或更高。 📢 **公告**：WordFence 和 WPScan 均有详细披露。

🚧 **临时规避**： 1. **立即停用** WP Statistics 插件。 2. 若必须使用，限制插件目录访问权限。 3. 部署 WAF 拦截 SQL 注入特征请求。

🔥 **优先级**：**紧急**。 ⚡ **理由**：无需认证 + 影响范围广 (60万+站点) + 数据泄露风险大。建议 **立即升级** 或 **停用**。