CVE-2023-28787 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入漏洞 (SQL Injection) 💥 **后果**：攻击者可执行任意SQL查询，导致数据泄露或系统被控。

🔍 **CWE**：CWE-89 (SQL注入) 🐛 **缺陷**：特殊元素中和不当，导致SQL命令被恶意篡改。

📦 **组件**：WordPress Plugin **Quiz And Survey Master** 🏢 **厂商**：ExpressTech 📉 **版本**：8.1.4 及以下版本。

🕵️ **黑客能力**： - 读取数据库敏感信息 - 修改或删除数据 - 可能获取服务器权限 🔓 **权限**：无需认证即可利用。

🚪 **利用门槛**：极低 ✅ **认证**：无需登录 (Unauthenticated) 🖱️ **交互**：无需用户交互 🌐 **网络**：远程利用 (AV:N) ⚡ **复杂度**：低 (AC:L)

💻 **PoC**：有现成模板 🔗 **来源**：ProjectDiscovery Nuclei Templates 📂 **链接**：GitHub 上的 CVE-2023-28787.yaml ⚠️ **在野**：数据未明确提及，但PoC已公开。

🔎 **自查方法**： 1. 检查插件版本是否 ≤ 8.1.4 2. 使用 Nuclei 扫描模板检测 3. 监控SQL注入特征流量 🛠️ **工具**：Nuclei, WAF日志分析。

🛡️ **官方修复**： - 建议升级至最新版本 - 参考 Patchstack 数据库获取详细补丁信息 📅 **发布时间**：2024-03-26 披露。

🚧 **临时规避**： - 立即停用该插件 - 配置WAF拦截SQL注入Payload - 限制数据库用户权限 🔒 **注意**：若无补丁，停用是最安全选择。

🔥 **优先级**：高 ⚖️ **CVSS**：3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:L 💡 **建议**：立即行动！无需认证即可利用，危害大，建议紧急升级或停用。