免费扫描
分析待定CVE-2026-7619

CVE-2026-7619: SQL Injection in Charitable WordPress Plugin

平台

wordpress

组件

charitable

修复版本

1.8.10.5

在NVD查看
保存

CVE-2026-7619 是 Charitable WordPress 插件中的一个SQL注入漏洞。该漏洞允许经过身份验证的攻击者(需要 editothersdonations 权限或更高权限)通过 's' 参数注入恶意SQL代码,从而可能导致敏感数据泄露。受影响的版本包括 1.8.10.4 及更早版本。建议立即升级至 1.8.10.5 版本以修复此安全问题。

WordPress

检测此 CVE 是否影响你的项目

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描

影响与攻击场景

攻击者可以利用此SQL注入漏洞执行未经授权的数据库查询,从而访问、修改或删除存储在数据库中的敏感数据。这可能包括捐赠者信息、财务记录以及其他与 Charitable 插件相关的数据。攻击者还可以利用此漏洞进行横向移动,访问其他与 WordPress 站点共享数据库的应用程序或服务。如果数据库包含用户凭据,攻击者可能能够完全控制 WordPress 站点。由于该漏洞需要身份验证,因此攻击者必须首先获得对捐赠管理后台的访问权限,这通常需要具备 editothersdonations 权限。

利用背景

目前尚无公开的漏洞利用程序 (POC),但该漏洞的严重性表明它可能成为攻击者的目标。该漏洞已在 2026 年 5 月 12 日发布。由于该漏洞需要身份验证,因此其利用难度相对较高,但如果攻击者能够获取有效的凭据,则可能造成严重损害。目前没有关于该漏洞正在被积极利用的公开信息。

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露

EPSS

0.03% (10% 百分位)

CISA SSVC

利用情况none
可自动化no
技术影响partial

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N6.5MEDIUMAttack VectorNetwork攻击者如何到达目标Attack ComplexityLow利用漏洞所需的条件Privileges RequiredLow攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeUnchanged超出受影响组件的影响范围ConfidentialityHigh敏感数据泄露风险IntegrityNone数据未授权篡改风险AvailabilityNone服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
低 — 无需特殊条件,可以稳定地利用漏洞。
Privileges Required
低 — 任何有效用户账户均可。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
未改变 — 影响仅限于脆弱组件本身。
Confidentiality
高 — 完全丧失机密性,攻击者可读取所有数据。
Integrity
无 — 无完整性影响。
Availability
无 — 无可用性影响。

受影响的软件

组件charitable
供应商wordfence
最高版本1.8.10.4
修复版本1.8.10.5

弱点分类 (CWE)

CWE-89

时间线

  1. 已保留
  2. 发布日期
  3. 修改日期
  4. EPSS 更新日期

缓解措施和替代方案

最有效的缓解措施是立即将 Charitable WordPress 插件升级至 1.8.10.5 或更高版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 来过滤恶意SQL注入请求。配置 WAF 以阻止包含可疑SQL代码的请求。此外,应审查 WordPress 站点的权限设置,确保只有授权用户才能访问捐赠管理后台。如果升级导致问题,请尝试回滚到之前的版本,并联系插件开发者寻求支持。升级后,请验证插件是否正常工作,并检查数据库中是否存在任何未经授权的更改。

修复方法

更新到 1.8.10.5 版本,或更新的补丁版本

常见问题

什么是 CVE-2026-7619 — SQL 注入漏洞在 Charitable WordPress 插件中?

CVE-2026-7619 是 Charitable WordPress 插件中发现的 SQL 注入漏洞,影响版本小于或等于 1.8.10.4 的插件。攻击者可以通过 's' 参数注入恶意 SQL 代码,可能导致敏感数据泄露。

我是否受到 CVE-2026-7619 在 Charitable WordPress 插件中的影响?

如果您正在使用 Charitable WordPress 插件的版本小于或等于 1.8.10.4,则您可能受到此漏洞的影响。请立即检查您的插件版本并升级。

如何修复 CVE-2026-7619 在 Charitable WordPress 插件中的问题?

最有效的修复方法是立即将 Charitable WordPress 插件升级至 1.8.10.5 或更高版本。如果无法升级,请考虑使用 Web 应用防火墙 (WAF) 进行缓解。

CVE-2026-7619 是否正在被积极利用?

目前没有关于 CVE-2026-7619 正在被积极利用的公开信息,但由于漏洞的严重性,建议尽快修复。

在哪里可以找到 Charitable 插件官方关于 CVE-2026-7619 的公告?

请访问 Charitable 插件的官方网站或 WordPress 插件目录,查找有关 CVE-2026-7619 的安全公告。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE
WordPress

检测此 CVE 是否影响你的项目

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描
live免费扫描

立即扫描您的WordPress项目 — 无需账户

上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始:拥有账户后,您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。

手动扫描Slack/邮件提醒持续监控白标报告

拖放您的依赖文件

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...