CVE-2024-1711 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入 (SQLi)。 💥 **后果**：攻击者可通过 `id` 参数注入恶意SQL，直接操控数据库。

🔍 **CWE-89**：SQL注入漏洞。 🐛 **缺陷**：对用户输入参数**转义不充分**，且SQL查询**缺乏预编译/准备**。

📦 **组件**：WordPress插件 **Create by Mediavine**。 📅 **版本**：**1.9.4** 及之前所有版本。

👮 **权限**：无需认证 (PR:N)。 📊 **数据**：可读取、修改、删除数据库内容 (C:H/I:H/A:H)。

📉 **门槛极低**。 ✅ **无需登录** (PR:N)。 ✅ **无需用户交互** (UI:N)。 ✅ **网络远程** (AV:N)。

🚫 **无现成Exp**。 📝 **PoC**：数据中 `pocs` 字段为空，暂无公开利用代码。

🔎 **自查**：扫描WordPress插件列表。 🔍 **特征**：检查是否安装 **Mediavine Create** 插件且版本 **≤ 1.9.4**。

🛡️ **官方修复**：参考 WordPress Trac 变更集 (changeset 3056265)。 💡 **建议**：升级至修复后的最新版本。

🛑 **临时规避**：若无补丁，立即**停用**该插件。 🚫 **限制访问**：在WAF层拦截包含SQL注入特征的 `id` 参数请求。

🔥 **优先级：极高**。 ⚠️ **CVSS 9.8**：严重漏洞。 ⚡ **风险**：攻击简单，无需权限，危害极大，建议**立即修复**。