平台
wordpress
组件
wp-google-map-plugin
修复版本
5.0.0
CVE-2026-3222 描述了 WordPress 插件 WP Maps – Store Locator 中的时间盲注 SQL 注入漏洞。此漏洞允许未经身份验证的攻击者通过 location_id 参数执行恶意 SQL 查询,从而可能导致敏感数据泄露。该漏洞影响所有版本低于或等于 4.9.1 的插件,已于 4.9.2 版本修复。
攻击者可以利用此 SQL 注入漏洞访问和修改数据库中的敏感信息,例如用户数据、位置信息和配置设置。攻击者可能通过构造特定的 SQL 查询来提取这些数据,甚至可能修改数据库内容。由于该漏洞可以通过 wpajaxnopriv 处理程序被未经身份验证的用户利用,因此攻击面非常广泛。如果数据库包含用户凭证或其他敏感数据,攻击者可能能够获得对 WordPress 网站的完全控制权,并进行进一步的攻击,例如跨站脚本攻击 (XSS) 或远程代码执行 (RCE)。
该漏洞已公开披露,并且存在潜在的利用风险。目前尚无已知的公开利用程序 (PoC),但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录中。NVD 发布日期为 2026-03-11。
漏洞利用状态
EPSS
0.21% (43% 百分位)
CISA SSVC
CVSS 向量
立即升级到 WP Maps – Store Locator 4.9.2 或更高版本以修复此漏洞。如果无法立即升级,可以尝试使用 Web 应用防火墙 (WAF) 来过滤恶意 SQL 查询。此外,可以实施输入验证和参数清理措施,以防止攻击者注入恶意代码。监控 WordPress 网站的数据库活动,并设置警报以检测异常的 SQL 查询。使用 Sigma 或 YARA 规则来检测与此漏洞相关的恶意活动。
更新到 4.9.2 版本,或更新的补丁版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-3222 是 WordPress 插件 WP Maps – Store Locator 中的一个时间盲注 SQL 注入漏洞,允许攻击者通过 location_id 参数执行恶意 SQL 查询。
如果您的 WordPress 网站正在使用 WP Maps – Store Locator 插件的版本低于 4.9.2,则您可能受到此漏洞的影响。
立即升级到 WP Maps – Store Locator 4.9.2 或更高版本以修复此漏洞。
虽然目前尚无已知的公开利用程序,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。
请访问 WP Maps 官方网站或 WordPress 插件目录以获取更多信息:[https://plugins.wordpress.org/wp-maps/](https://plugins.wordpress.org/wp-maps/)
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。