漏洞关键信息总结 1. 漏洞概述 CVE编号: CVE-2025-13922 漏洞名称: TaxoPress (Tag, Category, and Taxonomy Manager – AI Autotagger with OpenAI) – Authenticated (Contributor+) SQL Injection 漏洞类型: 基于时间的盲注 SQL 注入 (Time-based blind SQL injection) 描述: 该漏洞存在于 TaxoPress 插件的 AI 预览功能中。攻击者可以通过 AJAX 工作流程,利用 Contributor 级别或更高的权限注入 SQL 语句。漏洞参数为 ,攻击者可以注入带有延迟负载(如 )的 SQL 语句以观察时序差异。 2. 影响范围 受影响插件: Tag, Category, and Taxonomy Manager – AI Autotagger with OpenAI (插件 slug: ) 受影响版本: 所有版本,最高至 3.40.1 (all versions up to and including 3.40.1) 活跃安装量: 50,000+ 研究人员: Dmitri Ignatyev 3. 修复方案 官方建议: 升级到 TaxoPress 3.41.0 或更高版本。 技术建议: 修复不仅仅是“转义”,而是采用严格的白名单(strict allow-listing)和安全查询构建。 对于任何 子句,代码应将用户输入映射到有限的允许列(例如:name, count, term_id 等)。 强制执行方向(ASC 或 DESC),拒绝其他内容。 如果逻辑需要多个排序键,应从验证的令牌中组装它们,而不是直接使用原始字符串。 4. POC 代码**