CVE-2026-4348 in BetterDocs Pro Plugin信息

摘要

由 VulDB • 2026-05-28

WordPress 插件 BetterDocs Pro 存在 SQL 注入漏洞，影响所有 3.7.0 及以下版本。该漏洞出现在 `get_current_letter_docs` 和 `docs_sort_by_letter` AJAX 操作中。原因是 `limit` POST 参数在被传递给 `$wpdb->prepare()` 之前，被直接插值到 SQL 查询字符串中，而 `$wpdb->prepare()` 仅对其他变量进行参数化处理。这使得未经身份验证的攻击者能够将额外的 SQL 查询附加到现有查询中，从而用于从数据库中提取敏感信息。只有在 BetterDocs Pro 设置中启用 Encyclopedia 功能时，此漏洞才可被利用。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

Wordfence

预定

2026-03-17

披露

2026-05-07

管理

已接受

条目

VDB-361798

CPE

准备好

CWE

CWE-89 (已确认)

CVSS

7.5 (CNA)

EPSS

0.00032

KEV

否

活动

低

部门

Hostingprovider

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-4348
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-4348
CVE Details	https://www.cvedetails.com/cve/CVE-2026-4348/

◂ 上一步一览下一步 ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!