CVE-2022-22897 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入漏洞。PrestaShop Ap Pagebuilder 组件在处理特定参数时，未对输入进行充分过滤，导致恶意SQL语句被执行。**后果**：数据库数据被非法窃取，网站安全性彻底崩塌。

🔍 **缺陷点**：参数污染。具体位于 `product_all_one_img` 和 `image_product` 这两个参数。攻击者通过构造恶意输入，绕过安全机制，直接操作后端数据库。

🎯 **受影响者**：使用 **PrestaShop** 电商平台的商家。具体组件为 **ApolloTheme AP PageBuilder**，版本在 **2.4.4 及之前** 的版本均存在风险。

💀 **黑客能力**：无需登录即可操作（**Unauthenticated**）。核心危害是 **Exfiltrate database data**（导出/窃取数据库数据），包括用户信息、订单记录等敏感内容。

📉 **门槛极低**：**无需认证**。任何互联网用户均可直接发起攻击，无需账号密码，配置要求也极低，属于高危远程利用漏洞。

📦 **有现成Exp**：是的。ProjectDiscovery 的 **Nuclei** 模板中已包含针对此漏洞的检测模板，黑客可直接利用自动化工具批量扫描和攻击。

🔎 **自查方法**：检查网站是否安装了 **AP PageBuilder** 模块。若版本 <= 2.4.4，即存在风险。可使用 Nuclei 扫描器或 PacketStorm 上的相关工具进行验证。

🛡️ **修复状态**：数据未提供具体补丁链接，但明确指出 **2.4.4 及之前** 版本有漏洞。建议立即联系官方或模块开发者，升级至修复后的最新版本。

🚧 **临时规避**：若无补丁，建议暂时 **禁用** AP PageBuilder 模块。或者通过 WAF（Web应用防火墙）拦截包含 SQL 注入特征的请求，特别是针对那两个高危参数的请求。

⚡ **优先级：高**。由于是 **无认证** 的 SQL 注入，且已有现成 PoC，攻击成本极低。建议 **立即** 评估并升级，防止数据泄露造成重大损失。