CVE-2024-33964 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入 (SQLi)。 💥 **后果**：攻击者可窃取数据库中的敏感信息，导致数据泄露、完整性破坏及可用性受损。

🔍 **CWE-89**：SQL注入缺陷。 📍 **缺陷点**：在 `/admin/mod_users/index.php` 的 `id` 参数处理上，未对输入进行有效过滤或参数化。

📦 **产品**：Janobe PayPal (PayPal, Credit Card and Debit Card Payment)。 🏷️ **版本**：1.0 版本。 👤 **开发者**：Janobe (个人开发者)。

🕵️ **黑客能力**：发送特制查询。 📂 **数据获取**：检索 `id` 字段存储的**所有信息**。 🔓 **权限**：CVSS评分极高 (H/H/H)，暗示可获取高权限或完全控制。

📉 **门槛极低**。 🔑 **认证**：PR:N (无需认证)。 🌐 **攻击向量**：AV:N (网络远程)。 👀 **用户交互**：UI:N (无需用户交互)。 🛡️ **复杂度**：AC:L (低复杂度)。

🚫 **无现成Exp**。 📝 **PoC**：数据中 `pocs` 字段为空，暂无公开的具体利用代码。 🌍 **在野**：未提及在野利用情况。

🔎 **自查特征**：检查是否存在 `/admin/mod_users/index.php` 文件。 📡 **扫描**：针对 `id` 参数注入 SQL 测试语句，观察响应是否报错或返回异常数据。

🛠️ **官方状态**：数据未提供具体补丁链接或修复版本。 📢 **来源**：参考 Incibe 公告，建议联系开发者 Janobe 获取更新。

🛡️ **临时规避**： 1. 限制 `/admin/` 目录访问权限 (IP白名单)。 2. 部署 WAF 拦截 SQL 注入特征。 3. 移除或重命名敏感接口文件。

🔥 **优先级：极高**。 ⚠️ **理由**：CVSS 3.1 满分风险 (C:H/I:H/A:H)，无需认证即可远程利用，数据泄露风险极大，需立即处理。