CVE-2023-36645 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入漏洞。 💥 **后果**：攻击者可通过 `oordershow` 组件执行任意 SQL 查询，直接威胁数据库安全。

🔍 **缺陷点**：输入验证缺失。 📉 **CWE**：数据未提供，但典型表现为未对用户输入进行过滤或参数化处理。

🎯 **目标**：ITB-GmbH TradePro。 📦 **版本**：v9.5。 🧩 **组件**：客户功能中的 `oordershow` 模块。

👮 **权限**：远程、无需认证。 📊 **数据**：高机密性(C:H)、高完整性(I:H)影响。可窃取数据或篡改订单信息。

📉 **门槛**：极低。 🔑 **条件**：网络可访问(AV:N)、低复杂度(AC:L)、无需权限(PR:N)、无需交互(UI:N)。

💻 **Exp**：有。 🔗 **来源**：GitHub (caffeinated-labs/CVE-2023-36645) 提供 PoC 代码。

🔎 **自查**：扫描 v9.5 版本。 📝 **特征**：针对 `oordershow` 接口发送恶意 SQL 载荷，观察响应异常或报错。

🛡️ **补丁**：数据未提及官方补丁状态。 ⚠️ **注意**：需联系 ITB-GmbH 确认最新修复方案。

🚧 **规避**：限制 `oordershow` 访问权限。 🛑 **措施**：部署 WAF 拦截 SQL 注入特征，或暂时禁用该组件功能。

🔥 **优先级**：极高。 ⚡ **理由**：CVSS 3.1 高分，远程无认证即可利用，数据泄露风险极大，建议立即处置。