CVE-2023-36529 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WordPress 插件 Houzez CRM 存在 **SQL注入 (SQLi)** 漏洞。 💥 **后果**：攻击者可窃取数据库信息、篡改数据，甚至完全控制服务器。

🔍 **CWE ID**：**CWE-89** (SQL注入)。 📍 **缺陷点**：插件在处理用户输入时，未对 **SQL查询参数** 进行充分过滤或预处理，导致恶意代码注入。

🏢 **厂商**：**Favethemes**。 📦 **产品**：**Houzez - Real Estate WordPress Theme** (具体为 Houzez CRM 插件)。 ⚠️ **受影响版本**：数据提及 **1.3.3** 版本存在此漏洞。

👮 **权限**：攻击者可获得 **高权限** (CVSS A:H)。 📂 **数据**：可读取 **敏感数据** (CVSS C:H)，修改 **业务数据** (CVSS I:H)。 🌐 **范围**：影响范围扩大 (CVSS S:C)，可能波及整个网站环境。

🔑 **认证要求**：**PR:L** (需要低权限认证)。 🖱️ **交互**：**UI:N** (无需用户交互)。 🌍 **攻击向量**：**AV:N** (网络远程攻击)。 📉 **结论**：门槛中等，需登录后台或特定接口权限，但无需复杂配置。

📜 **PoC**：数据中 **pocs** 字段为空，暂无公开详细利用代码。 🌍 **在野利用**：数据未提及在野利用情况。 🔗 **参考**：Patchstack 有漏洞条目，建议关注厂商公告。

🔎 **自查特征**：检查 WordPress 站点是否安装 **Houzez CRM** 插件。 📊 **版本核对**：确认插件版本是否为 **1.3.3** 或更低版本。 🛠️ **扫描**：使用 WAF 或 SQL 注入扫描器检测相关接口是否存在注入点。

🛡️ **补丁状态**：数据描述称“目前尚无此漏洞的相关信息”，但提供了 Patchstack 链接。 📢 **建议**：需直接联系 **Favethemes** 或查看其官方更新日志获取最新修复版本。

⚠️ **临时规避**： 1. **禁用插件**：暂时停用 Houzez CRM 插件。 2. **访问控制**：限制插件相关接口的访问权限。 3. **WAF 防护**：配置 Web 应用防火墙拦截 SQL 注入特征流量。

🔥 **优先级**：**高**。 📈 **理由**：CVSS 评分高 (向量显示危害性大)，SQL 注入是高危漏洞，且涉及房地产 CRM 敏感数据，建议 **立即** 排查并升级。