CVE-2024-50491 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入漏洞（SQL Injection）。<br>📉 **后果**：攻击者可非法提取数据库中的敏感信息，导致数据泄露。

🔍 **CWE-89**：SQL注入。<br>🐛 **缺陷点**：对用户提供的参数**转义不足**，且现有SQL查询**缺乏充分的预处理**。

📦 **组件**：WordPress 插件 **RSVP ME**。<br>👤 **厂商**：MicahBlu。<br>📅 **版本**：**1.9.9** 及之前版本。

🕵️ **权限**：**未认证**（Unauthenticated）即可利用。<br>💾 **数据**：可附加SQL查询，**提取数据库中的敏感信息**。

📶 **门槛极低**。<br>✅ **无需认证**。<br>✅ **无需用户交互**。<br>✅ **网络访问**即可触发。

📜 **有现成PoC**。<br>🔗 参考链接：`https://github.com/RandomRobbieBF/CVE-2024-50491`。<br>⚠️ 公开可用，风险高。

🔎 **自查特征**：<br>1. 检查WP插件列表。<br>2. 确认是否安装 **RSVP ME**。<br>3. 确认版本 **≤ 1.9.9**。<br>4. 使用扫描器检测SQL注入特征。

🛡️ **官方修复**：<br>需升级至**修复版本**（数据未提供具体版本号，通常需联系厂商或查看最新官方更新）。<br>📝 建议立即检查官方渠道获取补丁。

🚧 **临时规避**：<br>1. **停用/卸载**该插件。<br>2. 若必须使用，限制插件功能页面的**访问权限**。<br>3. 部署WAF拦截SQL注入请求。

🔥 **优先级：高**。<br>📊 **CVSS 7.5**（高危）。<br>⚡ **无需认证**，利用简单，PoC公开。<br>💡 **建议**：立即排查并修复/停用。