CVE-2025-28942 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入 (SQLi)。 💥 **后果**：攻击者可绕过安全机制，非法访问或篡改数据库内容，危及网站数据安全。

🛡️ **CWE**：CWE-89 (SQL注入)。 🔍 **缺陷点**：特殊元素中和不当，导致恶意SQL代码被数据库执行。

📦 **组件**：Trust Payments Gateway for WooCommerce。 🏷️ **版本**：1.1.4 及之前版本。

👮 **权限**：数据库级权限。 📂 **数据**：高机密性泄露 (C:H)，可能窃取用户支付信息、订单数据等敏感内容。

🚪 **门槛**：低。 🔑 **条件**：网络访问 (AV:N)，无需认证 (PR:N)，无需用户交互 (UI:N)。

🧪 **Exp**：数据中未提供现成 PoC 或确切的在野利用报告。 ⚠️ **注意**：虽无公开Exp，但漏洞原理明确，利用风险极高。

🔎 **自查**：检查 WooCommerce 插件列表。 📋 **特征**：确认是否安装 'Trust Payments Gateway for WooCommerce' 且版本 ≤ 1.1.4。

🔧 **补丁**：建议立即升级至修复后的最新版本。 📝 **参考**：可查阅 Patchstack 官方安全公告获取详细修复指引。

🚧 **临时规避**：若无补丁，可考虑暂时禁用该支付网关插件。 🛑 **限制**：需权衡业务影响，或实施严格的 WAF 规则过滤 SQL 注入特征。

🔥 **优先级**：极高。 ⚡ **理由**：CVSS 评分高，无需认证即可远程利用，直接威胁核心交易数据，建议立即处置。