CVE-2026-9711CVE-2026-9711是存在于WordPress EventON虚拟事件日历插件中的SQL注入漏洞。该插件的完整版本(full)在处理WordPress的'search'搜索参数时,由于对用户提供的参数缺乏充分的转义处理(insufficient escaping),且未对现有SQL查询进行适当的预处理(lack of preparation on the existing SQL query),导致存在SQL注入风险。该漏洞允许未经认证的攻击者(unauthenticated attackers)向现有查询中追加额外的SQL语句,从而从数据库中提取敏感信息。值得注意的是,该漏洞的利用存在两个前提条件:一是插件的"Enable additional search queries"(启用额外搜索查询)设置必须处于启用状态;二是网站中必须存在至少一个已发布的事件(published event)。尽管存在这些限制条件,由于该漏洞无需认证即可利用,且CVSS评分高达9.8,属于严重级别,对使用该插件的WordPress网站构成了极大的安全威胁。攻击者可以利用此漏洞窃取数据库中的敏感信息,包括用户凭据、个人数据等,对网站安全和用户隐私造成严重危害。该漏洞由Wordfence安全团队([email protected])发现并报告,披露日期为2026年6月30日。
该漏洞的核心技术原理在于EventON插件在处理WordPress搜索功能时,未能正确处理用户输入的'search'参数。具体而言,插件直接将用户提供的搜索关键词拼接到SQL查询语句中,而没有使用参数化查询(prepared statements)或适当的输入转义机制。在WordPress中,$wpdb对象提供了prepare()方法来安全地构建SQL查询,但该插件的实现似乎绕过了这一安全机制,直接将未净化的用户输入嵌入到SQL语句中。攻击者可以通过构造特殊的SQL注入payload,利用UNION SELECT等技术从数据库的其他表中提取数据。由于该漏洞存在于搜索功能的前端接口,攻击者无需任何认证凭据即可发起攻击。完整的攻击利用需要满足两个条件:1)插件设置中必须启用"Enable additional search queries"选项;2)网站中至少存在一个已发布的事件。一旦满足这些条件,攻击者就可以通过发送包含恶意SQL片段的搜索请求,利用时间盲注或UNION联合查询技术逐步提取数据库内容,包括wp_users表中的用户名和密码哈希等敏感信息。