CVE-2026-3456WordPress插件“The GeekyBot — Generate AI Content Without Prompt, Chatbot and Lead Generation”在1.2.0及以下版本中存在SQL注入漏洞。该漏洞源于插件对用户提供的‘attributekey’参数缺乏足够的转义处理,且现有的SQL查询准备不充分。未经身份验证的攻击者可以利用此漏洞向现有查询中追加额外的SQL语句,从而从数据库中提取敏感信息。此漏洞严重性较高,需要对受影响的版本进行及时修复。
该漏洞的根本原因在于插件代码在处理‘attributekey’参数时,未对其进行严格的输入验证和转义处理,导致攻击者能够控制SQL查询的一部分。在WordPress环境中,通常使用$wpdb->prepare()来防止SQL注入,但该插件在特定功能点直接拼接了用户输入。由于漏洞点位于无需管理员权限即可访问的接口,攻击者无需登录即可发起攻击。攻击者可以通过构造恶意的SQL负载,利用UNION SELECT语句查询wp_users表获取管理员账户哈希,或者利用基于布尔/时间的盲注技术逐位提取数据库中的敏感配置信息(如API密钥、用户数据等)。CVSS向量显示机密性影响为高,进一步证实了数据泄露的风险。