CVE-2024-37843 — 神龙十问 AI 深度分析摘要

🚨 **本质**：CraftCMS GraphQL API 存在 **SQL 注入** 漏洞。 💥 **后果**：攻击者可绕过正常逻辑，直接操作数据库，导致 **数据泄露** 或 **系统被控**。

🔍 **缺陷点**：**GraphQL API 端点** 处理输入时未充分过滤。 📉 **CWE**：数据中未提供具体 CWE ID，但属于典型的 **注入类缺陷**。

🎯 **影响组件**：**CraftCMS** 内容管理系统。 📦 **受影响版本**：**v3.7.31 及之前版本**。

🕵️ **黑客能力**：执行 **SQL 注入** 攻击。 📂 **数据风险**：可窃取数据库内容，甚至可能通过 **时间盲注** 探测数据。

🔓 **利用门槛**：**低**。 🚫 **认证**：**未认证** (Unauthenticated) 即可利用，无需登录后台。

💻 **现成 Exp**：**有**。 📂 **PoC 来源**：GitHub 上有公开的 **时间盲注 PoC** 及 Nuclei 模板。

🔎 **自查方法**： 1. 检查 CraftCMS 版本是否 ≤ v3.7.31。 2. 使用 Nuclei 模板扫描 GraphQL 端点。 3. 监控 API 请求中的异常 SQL 关键字。

🛡️ **官方修复**：数据中未提及具体补丁链接。 ⚠️ **建议**：立即升级至 **v3.7.32+** 或最新安全版本。

🚧 **临时规避**： 1. **限制访问**：通过 WAF 或防火墙阻断对 `/api/` 端点的恶意请求。 2. **最小权限**：确保数据库账户权限最小化。

⚡ **优先级**：**高**。 🔥 **理由**：**未认证** + **SQL 注入** + **PoC 公开** = 极易被自动化扫描利用。建议 **立即修复**。