CVE-2026-4798WordPress的Avada Builder插件在3.15.1及之前版本中存在严重的基于时间的SQL注入漏洞。该漏洞源于‘product_order’参数缺乏足够的转义处理。未经身份验证的攻击者可利用此漏洞向现有SQL查询追加语句,从而提取敏感信息。需注意,利用该漏洞的前提是站点曾使用过WooCommerce插件且现已停用。
漏洞的根源在于Avada Builder插件在处理‘product_order’参数时,未能实施有效的输入过滤和参数化查询机制。由于对用户提供的参数缺乏足够的转义处理,攻击者能够操纵SQL查询的结构。攻击向量为网络,且无需用户交互或身份验证,这使得攻击门槛极低。在利用过程中,攻击者采用基于时间的盲注技术。通过在注入语句中嵌入如SLEEP(5)等延时函数,并观察服务器的响应时间差异,攻击者可以推断出数据库内容的真值。值得注意的是,该漏洞具有特定的环境依赖性:目标WordPress站点必须曾经安装并激活过WooCommerce插件,虽然目前处于停用状态,但相关的数据库表结构必须依然存在,攻击者才能利用这一遗留数据路径进行注入并提取敏感信息。