CVE-2024-6924 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入漏洞 💥 **后果**：攻击者可拼接恶意SQL语句，直接窃取数据库中的敏感信息。

🔍 **缺陷点**：参数未正确清理和转义 📉 **CWE**：数据缺失（原文未提供具体CWE ID，但描述指向注入类缺陷）

📦 **组件**：WordPress插件 TrueBooker 📅 **版本**：1.0.3 之前（含 1.0.2 及更早版本）

🕵️ **权限**：无需认证（Unauthenticated） 📂 **数据**：可提取数据库中的敏感信息，扩大攻击面。

🚪 **门槛**：极低 ✅ **认证**：无需登录，任何外部攻击者均可尝试利用。

🧪 **PoC**：有现成模板 🔗 **来源**：ProjectDiscovery Nuclei Templates 已提供检测脚本。

🔎 **自查**：使用 Nuclei 扫描 CVE-2024-6924 模板 📝 **特征**：检查插件版本是否 ≤ 1.0.2，关注SQL参数注入点。

🛠️ **修复**：升级至 1.0.3 或更高版本 📢 **状态**：官方已发布修复版本，建议立即更新。

🛡️ **临时规避**：若无法升级，需严格过滤用户输入参数 ⚠️ **注意**：确保SQL查询使用预处理语句，防止拼接注入。

⚡ **优先级**：高 🚨 **理由**：无需认证即可利用，且涉及核心数据泄露，风险极大。