CVE-2025-31531 — 神龙十问 AI 深度分析摘要

🚨 **本质**：SQL注入 (SQLi)。 💥 **后果**：攻击者可绕过安全机制，非法读取或篡改数据库内容。

🛡️ **CWE**：CWE-89 (SQL注入)。 🔍 **缺陷**：SQL命令中特殊元素处理不当，导致恶意输入被当作代码执行。

📦 **组件**：WordPress Plugin **History Log by click5**。 📅 **版本**：**1.0.13** 及之前所有版本。

👮 **权限**：无需认证 (PR:N)。 📊 **数据**：高机密性泄露 (C:H)，可能窃取敏感数据；完整性/可用性影响较低。

🚪 **门槛**：极低。 ✅ **条件**：网络访问 (AV:N)，攻击复杂度低 (AC:L)，无需用户交互 (UI:N)。

🧪 **Exp**：数据中 **pocs** 字段为空，暂无公开现成 PoC 或确切的在野利用报告。

🔎 **自查**：扫描 WordPress 插件目录，确认是否安装 **History Log by click5** 且版本 **≤ 1.0.13**。

🔧 **补丁**：官方已发布安全公告 (2025-04-01)，建议升级至修复后的最新版本。

🛑 **规避**：若无补丁，建议**立即停用**该插件，或限制插件目录的数据库权限，防止直接注入。

⚡ **优先级**：**高**。 📉 **风险**：CVSS 3.1 评分较高，利用简单且无需认证，需尽快修复以防数据泄露。