CVE-2026-31920该漏洞存在于名为Product Rearrange for WooCommerce的WordPress插件中。由于该插件未能正确中和用于SQL命令的特殊元素,导致存在SQL注入漏洞。攻击者可以利用此盲注漏洞,在无需认证的情况下执行恶意SQL语句。这可能导致敏感信息泄露,严重威胁网站数据库的安全性。受影响的版本为1.2.2及以下版本。
该漏洞属于典型的盲SQL注入(Blind SQL Injection)漏洞。其根本原因是开发人员在处理用户输入数据时,未进行严格的过滤或转义,直接将其拼接到SQL查询语句中。在Product Rearrange for WooCommerce插件中,特定的API或前端请求参数(通常涉及产品排序或重排功能的ID参数)未经过安全检查即传递给数据库查询层。由于CVSS向量显示PR:N(无需认证)和UI:N(无需交互),攻击者可以通过网络向受影响的WordPress站点发送精心构造的HTTP请求。利用盲注技术,攻击者可以通过布尔真/假响应或时间延迟技术,逐步推断出数据库结构、管理员凭证或其他敏感数据。尽管完整性影响为无,但机密性影响为高,意味着数据库内容极易被窃取。