CVE-2022-4447 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入漏洞。 💥 **后果**：攻击者可窃取敏感数据、篡改数据库内容，甚至执行未授权的管理操作。

🛡️ **CWE**：数据未提供。 🔍 **缺陷点**：在将参数用于 **SQL语句** 之前，**未正确清理和转义** 参数。

📦 **组件**：WordPress Plugin **Fontsy**。 📅 **版本**：**1.8.6** 及之前所有版本。

👮 **权限**：在受影响网站的上下文中执行操作。 📂 **数据**：获取 **敏感信息**，修改数据，执行 **未授权管理操作**。

🔑 **认证**：通过 **AJAX action** 触发。 ⚙️ **配置**：利用 **未清理的参数**，门槛取决于插件配置及AJAX端点暴露情况。

💻 **PoC**：有现成模板。 🔗 **来源**：ProjectDiscovery Nuclei Templates (CVE-2022-4447.yaml)。 🌍 **在野**：数据未明确提及。

🔎 **自查**：扫描 WordPress 站点是否安装 **Fontsy 插件**。 📊 **工具**：使用 Nuclei 模板或 WPScan 进行漏洞验证。

🔧 **补丁**：数据未提供具体补丁版本。 ✅ **建议**：升级至 **1.8.6 之后** 的安全版本（需参考官方更新日志）。

🚫 **规避**：若无法升级，应 **禁用** 该插件。 🛡️ **缓解**：检查并修复 AJAX 端点中的参数 **清理和转义** 逻辑。

⚡ **优先级**：**高**。 💡 **见解**：SQL注入可导致 **数据泄露** 和 **网站接管**，建议立即排查并修复。