CVE-2023-6360 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入漏洞 (SQL Injection) 💥 **后果**：攻击者可向数据库插入恶意SQL代码，导致**数据泄露**或**数据篡改**。 📌 **核心**：WordPress插件 My Calendar 存在未授权SQL注入风险。

🔍 **CWE ID**：CWE-89 (SQL注入) 📍 **缺陷点**：REST API 路由 `/my-calendar/v1/events` 中的 `from` 和 `to` 参数未正确过滤。 ⚠️ **原因**：用户输入直接拼接到SQL查询中，缺乏安全处理。

📦 **组件**：WordPress Plugin **My Calendar** 📉 **受影响版本**：**3.4.22 之前**的所有版本。 ✅ **安全版本**：需升级至 3.4.22 或更高版本。

🕵️ **权限**：**未授权 (Unauthenticated)** 攻击者无需登录即可利用。 🗄️ **数据风险**： - **读取**：窃取数据库敏感信息（用户数据、配置等）。 - **修改**：篡改网站数据。 🔓 **CVSS评分**：C:H (高机密性影响)，S:C (影响范围扩大)。

🚪 **认证要求**：**无需认证** (PR:N)。 🌐 **网络访问**：远程可利用 (AV:N)。 ⚡ **攻击复杂度**：**低** (AC:L)。 👤 **用户交互**：**无需用户交互** (UI:N)。 📝 **结论**：门槛极低，极易被自动化脚本利用。

🧪 **PoC 存在**：是。 🔗 **来源**：GitHub 上已有多个分析报告和利用代码（如 mr-won, user20252228 等仓库）。 🤖 **扫描器**：ProjectDiscovery Nuclei 模板已更新，可自动检测。 ⚠️ **在野利用**：数据未明确提及，但PoC公开意味着风险极高。

🔎 **自查特征**： 1. 检查 WordPress 插件列表，确认是否安装 **My Calendar**。 2. 确认版本是否 **< 3.4.22**。 3. 使用 Nuclei 模板 `http/cves/2023/CVE-2023-6360.yaml` 进行扫描。 4. 测试 URL：`/my-calendar/v1/events?from=...&to=...` 是否返回SQL错误。

🛡️ **官方修复**：是。 📌 **解决方案**：升级到 **My Calendar 3.4.22** 或更新版本。 📅 **发布时间**：2023-11-30 公布，建议立即行动。

🚧 **临时规避**： 1. **禁用插件**：如果不需要日历功能，直接停用并删除插件。 2. **WAF 防护**：在 Web 应用防火墙中拦截对 `/my-calendar/v1/events` 的异常请求，特别是包含 SQL 关键字的 `from`/`to` 参数。 3. **限制访问**：通过 IP 白名单限制后台或特定API访问。

🔥 **优先级**：**高 (High)**。 ⚡ **理由**： - **未授权**利用，无需登录。 - **SQL注入**危害极大（数据泄露/篡改）。 - **PoC 公开**，自动化攻击泛滥。 💡 **建议**：立即升级插件，不要拖延！