CVE-2024-38795 — 神龙十问 AI 深度分析摘要

🚨 **本质**：ListingPro 插件存在 **SQL注入** 漏洞。<br>🔥 **后果**：攻击者可非法操作数据库，导致数据泄露或篡改。

🛡️ **CWE**：CWE-89 (SQL注入)。<br>🔍 **缺陷**：对 **特殊元素** 的中和（过滤/转义）处理不当。

📦 **厂商**：CridioStudio。<br>📉 **版本**：ListingPro **2.9.4 及之前** 版本。

💀 **权限**：无需认证即可利用。<br>💾 **数据**：可读取、修改数据库内容（CVSS评分显示 **C:H** 机密性影响高）。

⚡ **门槛**：**极低**。<br>🔓 **条件**：**PR:N** (无需权限)、**UI:N** (无需用户交互)、**AC:L** (攻击复杂度低)。

📜 **PoC**：数据中 **pocs** 字段为空，暂无公开代码。<br>🌍 **利用**：参考链接显示为 **Unauthenticated** (未认证) 利用。

🔎 **自查**：检查 WordPress 后台插件列表。<br>📊 **版本**：确认 ListingPro 版本是否 **≤ 2.9.4**。

🔧 **补丁**：官方未提供具体补丁链接。<br>⚠️ **建议**：参考 Patchstack 链接获取最新修复方案。

🛡️ **规避**：立即 **升级** 至最新版本。<br>🚫 **临时**：若无升级，考虑 **停用** 该插件或限制访问。

🔥 **优先级**：**高**。<br>💡 **理由**：未认证、低复杂度、高机密性影响，需 **紧急修复**。