CVE-2026-4348WordPress BetterDocs Pro插件在3.7.0及之前版本中存在严重的SQL注入漏洞。该漏洞源于插件在处理`get_current_letter_docs`等AJAX请求时,未对`limit`参数进行安全过滤,直接将其拼接到SQL查询中。未经身份验证的攻击者可利用此漏洞向数据库注入恶意代码,从而提取敏感信息。前提是插件必须开启百科全书功能。
该漏洞的根本原因在于BetterDocs Pro插件在处理AJAX请求时,对用户输入的`limit`参数缺乏严格的过滤。具体来说,在`get_current_letter_docs`和`docs_sort_by_letter`这两个动作中,插件直接将`limit`参数拼接到SQL查询字符串中,然后才将其传递给`$wpdb->prepare()`函数。由于`$wpdb->prepare()`只能参数化后续传递的变量,无法修复已经被硬编码进查询字符串的恶意代码,攻击者可以通过构造恶意的`limit`参数(如包含`UNION SELECT`语句的载荷)来注入额外的SQL查询。由于这些AJAX动作不需要身份验证,且BetterDocs Pro的Encyclopedia(百科全书)功能默认可能开启或被管理员开启,攻击者可直接向`/wp-admin/admin-ajax.php`发送POST请求,利用该漏洞读取数据库中的敏感数据,如用户凭证哈希等。