CVE-2024-8624 — 神龙十问 AI 深度分析摘要

🚨 **本质**：WordPress插件 **MDTF** 存在 **SQL注入** 漏洞。 💥 **后果**：攻击者可非法获取数据库内容，甚至控制服务器，导致数据泄露或网站被篡改。

🔍 **CWE**：CWE-89 (SQL注入)。 📍 **缺陷点**：函数 `mdf_select_title` 中的 **meta_key** 属性未过滤，直接拼接进SQL查询。

📦 **组件**：WordPress Plugin **MDTF – Meta Data and Taxonomies Filter**。 🏷️ **厂商**：realmag777。 📅 **版本**：**1.3.3.3** 及之前所有版本均受影响。

🕵️ **黑客能力**： 1. **读取**：窃取数据库敏感数据（用户信息、配置等）。 2. **修改**：篡改网站内容或数据库记录。 3. **控制**：在特定条件下可能执行任意SQL命令，提升权限。

🔐 **门槛**：**中等**。 📝 **条件**：需要 **低权限认证** (PR:L)。 🌐 **网络**：远程利用 (AV:N)。 👤 **交互**：无需用户交互 (UI:N)。

📜 **现状**：根据提供数据，**暂无** 公开 PoC 或确切的在野利用报告。 ⚠️ **注意**：CVSS评分高，需警惕潜在利用风险。

🔎 **自查方法**： 1. 检查 WordPress 后台插件列表，确认是否安装 **MDTF**。 2. 核对版本号是否 **≤ 1.3.3.3**。 3. 扫描工具检测 `mdf_select_title` 相关接口是否存在 SQL 注入特征。

🛡️ **修复状态**：官方已发布修复。 📌 **行动**：参考 Wordfence 链接或 WordPress Trac 变更记录，升级至 **修复后的最新版本**。

🚧 **临时规避**： 1. **停用** 该插件（如非核心业务必需）。 2. 配置 **WAF** 规则，拦截包含 SQL 关键字的 `meta_key` 参数请求。 3. 限制插件相关接口的访问权限。

🔥 **优先级**：**高**。 📊 **CVSS**：9.8 (Critical)。 💡 **建议**：立即升级插件或采取缓解措施，防止数据泄露和服务器被控。