CVE-2024-8484 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入漏洞。 💥 **后果**：攻击者可从数据库**提取敏感信息**。 📌 **核心**：REST API接口参数未正确转义。

🔍 **CWE**：CWE-89 (SQL注入)。 🐛 **缺陷**：用户输入**转义不足**。 ⚠️ **原因**：SQL查询**准备不足**，未使用预处理。

📦 **产品**：WordPress插件 REST API TO MiniProgram。 👤 **厂商**：xjb。 📉 **版本**：**4.7.1** 及之前版本。

🕵️ **权限**：**未认证** (Unauthenticated)。 📂 **数据**：数据库中的**敏感信息**。 🔓 **能力**：追加SQL查询，读取数据。

🚪 **认证**：**无需登录**。 🌐 **网络**：远程利用 (AV:N)。 ⚡ **难度**：低 (AC:L, UI:N, PR:N)。

💻 **PoC**：有现成代码。 🔗 **来源**：GitHub (RandomRobbieBF)。 🛠️ **工具**：Nuclei模板已更新。

🔎 **接口**：`/wp-json/watch-life-net/v1/comment/getcomments`。 🎯 **参数**：重点检测 `order` 参数。 📡 **扫描**：使用Nuclei模板或SQL注入扫描器。

🛡️ **修复**：官方已发布修复。 📝 **版本**：需升级至 **4.7.2+** (隐含)。 🔗 **参考**：WordPress Trac Changeset 3337740。

🚧 **临时**：限制API访问权限。 🛑 **策略**：WAF拦截SQL注入特征。 🔒 **建议**：尽快升级，无其他官方缓解措施。

🔥 **优先级**：**高** (CVSS 7.5)。 ⚠️ **风险**：无需认证，数据泄露风险大。 🏃 **行动**：立即检查版本并升级插件。