CVE-2024-32128 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入漏洞 (SQL Injection) 💥 **后果**：攻击者可向数据库查询中注入恶意SQL，**提取敏感信息**，破坏数据完整性。

🔍 **CWE**：CWE-89 (SQL注入) 🐛 **缺陷点**：对用户提供的参数**缺乏足够的转义**，且现有SQL查询**缺乏充分的预处理**（Prepared Statements）。

🏢 **厂商**：Realtyna 📦 **产品**：Realtyna Organic IDX plugin 📅 **影响版本**：**4.14.4及以下**版本。

🕵️ **权限**：**未认证**攻击者即可利用 💾 **数据**：可**提取数据库中的敏感信息**（如用户数据、配置信息等），潜在影响服务器状态。

📉 **门槛**：**极低** 🔓 **认证**：**无需认证** (Unauthenticated) 🌐 **网络**：远程利用 (AV:N) 👤 **交互**：无需用户交互 (UI:N)

🧪 **PoC**：有现成模板 🔗 **来源**：ProjectDiscovery Nuclei Templates 📄 **链接**：见参考链接中的 YAML 文件。

🔎 **自查方法**： 1. 检查 WordPress 插件列表，确认是否安装 **Realtyna Organic IDX**。 2. 确认版本是否 **≤ 4.14.4**。 3. 使用 Nuclei 等工具扫描 SQL 注入特征。

🛡️ **补丁状态**：官方已发布修复建议。 ✅ **行动**：立即升级插件至**最新版本**（> 4.14.4）。 📖 **详情**：参考 Patchstack 漏洞数据库条目。

⚠️ **临时规避**： 1. **禁用**该插件。 2. 若必须使用，限制插件相关端点的**访问权限**（如仅允许特定IP）。 3. 部署 WAF 规则拦截 SQL 注入载荷。

🔥 **优先级**：**高** 💡 **理由**：CVSS 评分高 (AV:N/AC:L/PR:N)，**无需认证**即可远程利用，且能直接窃取数据。建议**立即修复**。