平台
wordpress
组件
wp_attractivedonationssystem
修复版本
1.25.1
CVE-2026-28115描述了loopus开发的WP Attractive Donations System - Easy Stripe & Paypal donations插件中的SQL注入漏洞。该漏洞允许攻击者进行盲SQL注入,可能导致敏感数据泄露或数据库篡改。该漏洞影响WP Attractive Donations System - Easy Stripe & Paypal donations插件的0.0.0至1.25版本。已于2026年3月5日公开。
攻击者可以利用此SQL注入漏洞绕过身份验证,直接访问数据库中的敏感信息,例如用户凭据、捐赠记录、财务数据等。攻击者还可以利用此漏洞修改数据库内容,导致数据损坏或服务中断。由于该漏洞属于盲SQL注入,攻击者可能需要进行多次尝试才能获取所需信息,但一旦成功,其影响将非常严重。此漏洞的潜在影响类似于其他SQL注入漏洞,可能导致大规模数据泄露和系统破坏。
该漏洞已公开披露,存在公开的PoC代码。目前尚不清楚该漏洞是否已被积极利用,但由于其严重性,建议尽快采取缓解措施。该漏洞已添加到NVD数据库中,CISA尚未将其添加到KEV目录。请密切关注安全社区的最新动态。
WordPress sites utilizing the WP Attractive Donations System plugin, particularly those running older, unpatched versions (0.0.0–1.25), are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• wordpress / composer / npm:
grep -r "wp_attractive_donations_system" /var/www/html/wp-content/plugins/• wordpress / composer / npm:
wp plugin list | grep wp_attractive_donations_system• wordpress / composer / npm:
curl -I https://your-wordpress-site.com/wp-content/plugins/wp-attractive-donations-system/ | grep -i 'SQL Injection'disclosure
漏洞利用状态
EPSS
0.04% (12% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即升级到修复后的版本。如果无法立即升级,可以考虑以下临时缓解措施:首先,限制数据库用户的权限,只授予必要的访问权限。其次,实施Web应用防火墙(WAF),配置规则以检测和阻止SQL注入攻击。第三,定期审查和更新插件代码,确保其安全性。最后,监控数据库日志,及时发现和响应可疑活动。升级后,请验证插件功能是否正常,确认漏洞已成功修复。
没有已知的补丁可用。请深入审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-28115描述了WP Attractive Donations System插件中的SQL注入漏洞,攻击者可以通过该漏洞执行恶意SQL代码,可能导致数据泄露或系统破坏。
如果您正在使用WP Attractive Donations System插件的版本在0.0.0和1.25之间,则可能受到此漏洞的影响。请立即检查您的插件版本。
最有效的修复方法是升级到修复后的版本。如果无法升级,请采取Web应用防火墙和权限限制等缓解措施。
目前尚不清楚该漏洞是否已被积极利用,但由于其严重性,建议尽快采取缓解措施。
请查阅WP Attractive Donations System官方网站或WordPress插件目录,以获取有关此漏洞的官方公告和修复信息。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。