CVE-2021-36748 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入漏洞 (SQL Injection) 💥 **后果**：远程攻击者可从数据库中提取敏感数据，导致信息泄露。

🔍 **缺陷点**：`Prestahome Blog` (ph_simpleblog) 模块的列表控制器。 ⚠️ **原因**：`sb_category` 参数未进行有效验证/过滤。

📦 **受影响组件**：PrestaShop 电商平台。 📉 **版本范围**：PrestaShop **1.7.8 之前**的所有版本。

🕵️ **黑客能力**：执行恶意 SQL 查询。 📂 **数据风险**：直接提取数据库内容，可能包括用户信息、订单数据等。

🚪 **利用门槛**：低。 🌐 **条件**：远程攻击，无需认证，利用模块配置即可触发。

📜 **PoC 状态**：有现成模板。 🔗 **来源**：ProjectDiscovery Nuclei 模板已收录，可快速检测。

🔎 **自查方法**：检查是否安装 `Prestahome Blog` 模块。 🛠️ **工具**：使用 Nuclei 扫描模板 `CVE-2021-36748.yaml` 进行自动化检测。

🛡️ **修复方案**：升级 PrestaShop 至 **1.7.8 或更高版本**。 📝 **注意**：官方描述隐含通过版本更新修复，建议检查模块更新。

⚠️ **临时规避**：若无法升级，建议**禁用或卸载** `Prestahome Blog` (ph_simpleblog) 模块。 🚫 **替代**：使用其他经过安全审计的博客插件。

🔥 **优先级**：高。 📅 **发布时间**：2021-08-20。 💡 **建议**：SQL注入风险极大，建议立即排查并修复，防止数据被拖库。