平台
wordpress
组件
products-rearrange-woocommerce
修复版本
1.2.3
CVE-2026-31920 描述了 Product Rearrange for WooCommerce 插件中的盲 SQL 注入漏洞。该漏洞允许攻击者通过构造恶意的 SQL 查询来提取数据库信息,可能导致敏感数据泄露。此漏洞影响 Product Rearrange for WooCommerce 的所有版本,直至 1.2.2 及其更早版本。建议用户尽快升级到修复版本以消除风险。
攻击者可以利用此 SQL 注入漏洞执行未经授权的数据库查询,从而提取敏感信息,例如用户凭据、订单数据和产品信息。攻击者还可以利用此漏洞修改数据库内容,导致数据损坏或服务中断。由于该漏洞是盲 SQL 注入,攻击者可能需要进行多次查询才能提取所需信息,但这并不影响其严重性。如果 WooCommerce 数据库包含其他敏感信息,例如支付信息,则攻击者的影响范围将进一步扩大。
目前尚未公开已知利用此漏洞的公开 POC。CISA 尚未将其添加到 KEV 目录。由于漏洞的严重性和潜在影响,建议密切关注其利用情况。NVD 于 2026 年 3 月 25 日发布了此 CVE。
Websites using the Product Rearrange for WooCommerce plugin, particularly those running older, unpatched versions (n/a through 1.2.2), are at significant risk. Shared hosting environments where multiple websites share the same database are especially vulnerable, as a compromise of one site could potentially impact others.
• wordpress / composer / npm:
grep -r "product_rearrange_woocommerce" /var/www/html/wp-content/plugins/
wp plugin list | grep product_rearrange_woocommerce• generic web:
curl -I https://your-wordpress-site.com/wp-content/plugins/product-rearrange-woocommerce/ | grep -i 'product-rearrange-woocommerce'disclosure
漏洞利用状态
EPSS
0.04% (12% 百分位)
CVSS 向量
最有效的缓解措施是立即将 Product Rearrange for WooCommerce 升级到修复版本。如果升级会导致兼容性问题,可以考虑回滚到之前的稳定版本,但请注意这只是临时解决方案。此外,可以配置 Web 应用防火墙 (WAF) 以检测和阻止 SQL 注入攻击。建议审查数据库访问权限,确保只有授权用户才能访问敏感数据。监控数据库日志,查找可疑的 SQL 查询活动。
目前没有已知的补丁。请仔细审查漏洞的详细信息,并根据您组织的风险承受能力采取缓解措施。最好卸载受影响的软件并寻找替代方案。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-31920 描述了 Product Rearrange for WooCommerce 插件中存在的盲 SQL 注入漏洞,攻击者可以通过构造恶意 SQL 查询来提取数据库信息。
如果您正在使用 Product Rearrange for WooCommerce 的版本低于或等于 1.2.2,则您可能受到此漏洞的影响。
建议立即将 Product Rearrange for WooCommerce 升级到最新版本,以消除此漏洞。
目前尚未公开已知利用此漏洞的公开 POC,但由于漏洞的严重性,建议密切关注其利用情况。
请访问 Devteam HaywoodTech 的官方网站或 WooCommerce 插件目录,以获取有关此漏洞的官方公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。