CVE-2024-12270 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入漏洞 💥 **后果**：攻击者可读取数据库敏感信息 📌 **核心**：参数 `selects[0][term]` 未过滤

🔍 **CWE**：CWE-89 (SQL注入) 🛠 **缺陷**：用户输入未转义 ⚠️ **原因**：SQL查询准备不足

📦 **组件**：Beautiful taxonomy filters 🏷 **版本**：≤ 2.4.3 👤 **厂商**：jonathandejong

🕵️ **权限**：无需认证 (Unauthenticated) 💾 **数据**：提取数据库敏感信息 🔓 **范围**：全版本受影响

🚪 **门槛**：极低 ✅ **认证**：不需要登录 🌐 **配置**：默认即可利用

💻 **PoC**：有现成代码 🔗 **来源**：GitHub (RandomRobbieBF) 🔥 **状态**：公开可用

🔎 **特征**：检测 `selects[0][term]` 参数 📡 **扫描**：针对 WP 插件目录 🧪 **测试**：SQL注入语法测试

🛡️ **补丁**：官方已修复 📝 **版本**：> 2.4.3 🔗 **链接**：WordPress Trac r3205710

⏸ **临时**：升级插件 🚫 **规避**：禁用该插件 🔒 **限制**：WAF拦截SQL关键字

⚡ **优先级**：高 🚨 **风险**：CVSS 7.5 (高) 🏃 **行动**：立即更新或停用