CVE-2026-32516kamleshyadav开发的WordPress插件Miraculous Core Plugin存在SQL注入漏洞。该漏洞源于未能正确中和用于SQL命令的特殊元素,允许攻击者进行盲注攻击。受影响版本为小于2.1.2的所有版本。攻击者仅需低权限账户且无需用户交互即可通过网络发起攻击,此漏洞可能导致敏感数据的高机密性泄露并对系统可用性造成一定影响。
该漏洞属于盲注SQL注入类型,其核心原理在于应用程序未能对用户输入的特殊字符进行有效的过滤或转义,导致攻击者能够操纵后端数据库查询。在受影响的Miraculous Core Plugin版本中,特定的功能模块在接收HTTP请求参数时,直接将其嵌入到SQL语句上下文中执行。攻击者利用这一缺陷,可以通过发送包含布尔逻辑或基于时间延迟的恶意Payload,诱导数据库执行特定命令。虽然应用可能不返回直接的错误信息或查询结果,但攻击者可以根据页面响应的差异(如HTTP状态码、响应内容长度变化)或响应时间的长短,逐位推断出数据库结构及敏感数据。鉴于漏洞需低权限(PR:L),攻击者可能需要先获取一个普通用户权限,随后利用该漏洞提升权限或窃取管理员凭证,进而完全控制受影响的WordPress站点。