CVE-2024-3592 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入漏洞。<br>📉 **后果**：攻击者可窃取数据库敏感信息，甚至篡改或删除数据，导致网站瘫痪。

🔍 **CWE-89**：SQL注入。<br>📍 **缺陷点**：`question_id` 参数未做严格过滤，直接拼接进SQL查询语句。

📦 **组件**：WordPress插件 Quiz And Survey Master (QSM)。<br>📅 **版本**：9.0.1 及之前所有版本。

👮 **权限**：需低权限（PR:L）。<br>💾 **数据**：高危害（C:H/I:H/A:H）。可读取用户数据、配置，甚至控制服务器。

🚪 **门槛**：中等。<br>🔑 **条件**：需要**认证用户**（PR:L）身份才能触发，非完全匿名利用。

📜 **PoC**：数据中未提供现成Exploit链接。<br>🌍 **在野**：暂无公开在野利用报告，但CVSS评分高，风险极大。

🔎 **自查**：检查插件版本是否 ≤ 9.0.1。<br>🛠 **扫描**：使用WAF或漏洞扫描器检测 `question_id` 参数的SQL注入特征。

🛡️ **补丁**：官方已发布修复。<br>🔗 **参考**：查看 WordPress Trac 变更日志 (changeset 3097878) 获取修复详情。

⚠️ **临时规避**：若无法立即升级，建议**禁用该插件**或限制后台访问权限。<br>🚫 **WAF**：配置规则拦截包含SQL关键字的 `question_id` 请求。

🔥 **优先级**：高。<br>📊 **理由**：CVSS 9.1分，影响范围广（S:C），且为常见注入类型，建议**立即升级**至最新版本。