插件名称	字体管理器 | 自定义字体
漏洞类型	SQL 注入
CVE 编号	CVE-2026-1800
紧迫性	高
CVE 发布日期	2026-03-23
来源网址	CVE-2026-1800

紧急：在“字体管理器 | 自定义字体”（<= 1.2）中的SQL注入 — WordPress网站所有者现在必须做什么

已发布: 2026年3月23日
严重性： 高 — CVSS 9.3 (CVE-2026-1800)
受影响的版本： 插件版本 <= 1.2
所需权限： 未认证（任何访客）

作为一个运营专业Web应用防火墙（WAF）和事件响应服务的WordPress安全团队，我们在WP‑Firewall发布了一份详细的、实用的建议给网站所有者和管理员。字体管理器 | 自定义字体插件（版本高达并包括1.2）中已披露一个高严重性的SQL注入漏洞。该漏洞可以通过未认证请求触发， fmcfIdSelectedFnt 参数，并允许攻击者直接与数据库交互。.

本文解释了该漏洞的含义、如何检测、缓解和修复的实际步骤、如果怀疑被攻陷该怎么办，以及WP‑Firewall如何保护您的网站 — 包括您可以立即启用的无成本基础计划。.

---

执行摘要（您现在需要知道的内容）

• 该插件通过HTTP参数包含一个未认证的SQL注入向量 fmcfIdSelectedFnt.
• 未认证的攻击者可以将SQL注入到与WordPress数据库交互的查询中。.
• 影响包括数据泄露、数据修改、用户账户被攻陷以及根据其他网站配置的完全网站接管。.
• 在发布时，对于版本 <= 1.2 没有供应商提供的补丁。需要立即缓解。.
• 如果您运行此插件：请移除它、禁用它，或应用虚拟补丁（WAF规则），直到官方补丁可用。.
• WP‑Firewall用户可以立即启用缓解规则以阻止利用尝试，同时您决定修复方案。.

---

这个漏洞是什么？技术概述

该漏洞是一个SQL注入（SQLi），可以在没有认证的情况下被利用。易受攻击的输入是一个名为 fmcfIdSelectedFnt 的参数，该参数由插件处理并在没有足够输入验证或参数化的情况下被纳入SQL语句中。.

这件事的重要性：

• SQL注入允许攻击者操纵数据库查询引擎。根据查询上下文，攻击者可能能够读取任意数据库行、修改或删除数据、创建管理账户，或执行导致完全网站攻陷的操作。.
• 未经身份验证意味着攻击者不需要是已登录的 WordPress 用户——他们可以是来自互联网的新访客。.
• 描述的 CVSS 分数为 9.3 反映了在 web 应用程序上未经身份验证的 SQLi 的严重性。.

技术说明（高级）：

• 攻击面是传递给插件端点的 HTTP 参数（GET 或 POST）。.
• 插件未能对提供的值进行清理或使用参数化查询。.
• 恶意输入可以改变预期的 SQL 查询逻辑。.

我们故意避免在本公告中分享利用载荷或查询字符串，因为这些可以用于恶意自动化。下面的重点是检测、缓解和安全处理。.

---

攻击者如何利用它——现实攻击场景

理解攻击场景有助于优先响应：

1. 大规模数据盗窃
   • 攻击者可以读取 wp_users, wp_usermeta, 的内容，或根据查询上下文读取自定义表。.
   • 被盗的用户哈希可以离线暴力破解或用于转向其他重用凭据的系统。.
2. 权限提升/账户创建
   • 在许多 SQLi 案例中，攻击者可以注入数据以在 wp_users, 中创建新的管理员记录，然后在 wp_usermeta. 中设置必要的元条目。这导致直接接管网站。.
3. 网站修改/涂鸦/持久性
   • SQLi 可用于修改选项、插入恶意帖子或更改插件/主题设置，这反过来可能用于安装后门。.
4. 大规模利用
   • 由于这是未经身份验证且是常见插件，攻击者通常会构建自动扫描器，测试许多 WordPress 网站并尝试大规模利用它们。.

鉴于上述情况，将任何使用该插件的活动网站视为高优先级以进行立即缓解。.

---

检测 — 在日志和行为中要寻找什么

如果您运营托管堆栈或安全产品，请注意以下模式。这些是检测建议，而不是利用签名。.

• 对插件端点的意外请求，其中 fmcfIdSelectedFnt 存在：
  • 示例日志模式：带有参数的请求 fmcfIdSelectedFnt 包含不寻常字符（空格、引号、注释标记、SQL保留字）。.
• 来自同一远程IP或多个低信任IP（扫描行为）对同一URL的重复400/500响应。.
• 对不同值的快速POST/GET请求 fmcfIdSelectedFnt （探测尝试）。.
• 在访问插件端点后，您的PHP/WordPress日志中引用SQL语法错误的数据库错误。.
• 在可疑请求后不久出现意外的管理员用户、新帖子或选项更改。.
• 您未创建的外部连接或计划任务。.

示例检测日志指纹（已清理，用于模式匹配）：

[access-log] 192.0.2.123 - - [23/Mar/2026:10:04:12 +0000] "GET /wp-admin/admin-ajax.php?action=fmcf_action&fmcfIdSelectedFnt=... HTTP/1.1" 200 512 "-" "Mozilla/5.0"

设置监控警报以便于：

• 包含“SQL语法”或“mysql_fetch”的错误模式，在插件端点被访问后。.
• 任何非管理员行为者在 wp_users 奇怪的时间创建的新管理员用户事件。.

---

立即缓解步骤（在接下来的 1-2 小时内该做什么）

1. 确定受影响的网站
   • 使用WP管理员插件列表或文件系统检查确认插件已安装且版本≤1.2。.
   • 如果您有多个站点，请运行自动化清单以定位插件的实例。.
2. 如果可以，请暂时将网站下线或将其置于维护模式。.
   • 这虽然是可选的，但对于高流量或高风险网站在您采取行动时推荐这样做。.
3. 如果插件作者提供了更新，请应用它。. 注意：在发布时，指定的易受攻击版本没有官方修补版本可用——不要假设存在补丁。请验证插件的变更日志和供应商的沟通。.
4. 如果没有补丁可用，请卸载或禁用该插件。.
   • 从 WP 管理员处停用或通过 SFTP 删除插件文件夹。.
   • 如果出于业务原因需要该插件且无法禁用，请应用 WAF 虚拟补丁（阻止/清理易受攻击的参数）——以下是说明。.
5. 应用 WAF 规则或虚拟补丁以阻止利用尝试（如果您无法删除插件，建议这样做）。.
   • 阻止任何包含可疑 SQL 元字符的外部请求。 fmcfIdSelectedFnt 范围。
   • 如果这些端点本来就不应该公开，请阻止对特定插件端点的未经身份验证的请求。.
6. 如果您怀疑被入侵，请轮换凭据并审查访问权限：
   • 如果怀疑入侵，请重置 WordPress 管理员、FTP/SFTP、cPanel 和数据库用户密码。.
7. 检查您的网站是否有被入侵的迹象（见下文部分）。.

---

推荐的 WAF 缓解措施（虚拟补丁）——示例和指导

如果您无法立即删除插件，通过 WAF 进行虚拟补丁是阻止利用流量的最快方法。以下是您可以在大多数 WAF 界面或托管控制面板中实施的安全、非利用特定的建议。这些是概念规则——确切的语法取决于您的 WAF。.

1. 阻止可疑参数内容
   • 拒绝请求，其中 fmcfIdSelectedFnt 包含常用于 SQL 注入的字符（单引号、双引号、分号、注释标记、SQL 关键字），并且请求是未经身份验证的。.

   伪代码/逻辑：

   • 如果请求包含参数 fmcfIdSelectedFnt
   • 并且参数值匹配正则表达式模式： [\x27\x22;#/*\b(联合|选择|插入|更新|删除|删除)\b] (不区分大小写）
   • 然后块请求（返回403）

   注意： 允许合法的数字或安全的字母数字值。根据您的插件使用情况调整允许的模式（如果插件通常传递单个整数ID，则仅允许数字）。.

2. 限制对插件端点的访问
   • 如果易受攻击的端点仅用于经过身份验证的管理员使用，请通过以下方式限制它们：
     • 仅允许来自经过身份验证的管理员会话的访问（验证cookies）。.
     • 限制允许的IP范围（内部管理员IP）。.
     • 阻止匿名客户端对这些端点的GET或POST请求。.
3. 速率限制和行为检查
   • 对插件的端点访问进行速率限制，以减缓扫描和自动利用尝试。.
   • 阻止重复失败扫描和激进请求模式的IP。.
4. 阻止响应中包含数据库错误字符串的请求
   • 如果您检测到某个端点经常返回SQL错误文本，请使用您的WAF拦截并返回通用错误页面，以防止泄漏。.

重要： 这些规则是临时缓解措施，应与删除或更新插件结合使用。虚拟修补减少风险，但不修复根本代码问题。.

---

如何检查是否被攻破——指标、文件和查询

如果您的网站在之前收到了可疑流量，或者您对事件不确定，请进行针对性调查：

1. 检查访问和错误日志
   • 寻找 fmcfIdSelectedFnt 来自未知IP的请求。.
   • 在日志中搜索SQL错误消息和可疑的POST活动。.
2. 检查 wp_users 和 wp_usermeta
   • 查找您不认识的新管理员角色用户。.
   • 检查 最后登录 （如果存储），, 用户注册时间 时间戳。.
3. 扫描已修改的文件
   • 使用文件完整性检查器或 Git diff（如果您的网站在版本控制下）。.
   • 查找最近修改的 PHP 文件在 wp-内容, wp-includes, 和根目录中。.
4. 搜索数据库，查找可疑内容
   • 检查 wp_options 查找选项值中意外的自动加载选项或注入的脚本，如 siteurl 或者 首页.
   • 检查帖子中隐藏的 iframe，, eval(), base64 字符串或混淆的 JavaScript。.
5. 定时任务和 cron
   • 列出活动的 WordPress cron 钩子（wp_cron）和未知任务的计划事件。.
6. 出站连接
   • 检查服务器上异常的外部网络连接，这可能表示数据外泄或回调到 C2 主机。.

如果发现妥协的迹象，立即隔离网站（下线）并进行全面的隔离和恢复计划。.

---

事件响应检查清单（逐步）

1. 隔离
   • 将受影响的网站置于维护模式。.
   • 如有必要，通过禁用网络路由撤销攻击者访问权限。.
2. 保存证据
   • 备份日志、数据库和文件系统快照以进行取证分析。.
   • 不要覆盖证据。.
3. 包含
   • 禁用或移除易受攻击的插件。.
   • 应用 WAF 规则以阻止利用模式。.
4. 根除
   • 删除 Web Shell、未经授权的管理员用户和恶意文件。.
   • 如有必要，从已知良好的备份中恢复干净的文件。.
5. 恢复
   • 更新或重新安装插件/主题/核心。.
   • 重新发放凭证并轮换密钥。.
   • 加固网站（请参见下面的加固检查清单）。.
6. 审查和学习
   • 进行事后分析，以确定攻击者如何成功以及改进防御的步骤。.
   • 应用长期措施：持续监控、定期备份和虚拟补丁服务。.

---

加固检查清单（修复前和修复后）

• 保持 WordPress 核心、主题和插件为最新版本。
• 限制插件使用，仅限于必要的、积极维护的插件。.
• 对管理员账户强制使用强密码和多因素认证（MFA）。.
• 对数据库用户使用最小权限——避免使用具有超级用户权限的数据库用户。.
• 限制 wp-admin 和 wp-login.php 通过IP或添加额外的身份验证。.
• 实施文件完整性监控和定期恶意软件扫描。
• 保持每日异地备份，并定期测试恢复。.
• 使用专业的WAF提供虚拟补丁和流量过滤。.
• 持续监控日志和警报，并订阅可靠的安全情报源。.

---

WP-Firewall如何提供帮助——即时和持续的保护

在WP-Firewall，我们采用多层防御方法，结合主动检测、虚拟补丁和事件响应。以下是我们的产品和服务如何直接缓解此类漏洞：

1. 管理的WAF规则和虚拟补丁
   • 我们部署规则，阻止针对已知脆弱输入的利用尝试（例如 fmcfIdSelectedFnt）而不等待供应商补丁。.
   • 虚拟补丁风险低，并经过测试以避免对合法流量的误报。.
2. 实时攻击阻止
   • 我们的WAF阻止自动扫描器和利用工具包，这些工具探测未经身份验证的SQLi尝试。.
   • 我们还限制速率并识别分布式扫描模式，以防止大规模利用。.
3. 1. 自动扫描和警报
   • 2. 我们平台上的网站定期进行漏洞扫描，并在检测到易受攻击的插件时发送通知。.
   • 3. 我们监控攻击尝试并提供即时缓解指导。.
4. 4. 取证和修复支持
   • 5. 如果怀疑存在安全漏洞，WP‑Firewall 的支持可以帮助进行调查、遏制和恢复计划。.
   • 6. 我们提供有关凭据轮换、清理和从备份恢复的指导。.
5. 7. 持续的安全维护和报告
   • 8. 专业客户每月获得安全报告和优先处理的漏洞。.
   • 9. 我们的基础计划包括阻止常见攻击和 OWASP 前 10 大风险的基本保护。.

10. 我们无法过分强调虚拟补丁的重要性，尤其是在官方补丁不可用或延迟的情况下。它为您规划永久修复争取了关键时间，并减少了暴露风险。.

---

受损指标（IoCs） — 需要寻找的示例

11. 以下是需要搜索的 IoC 类型。这些是通用的、非特定于攻击的，旨在帮助检测团队定位可疑活动。.

• HTTP请求模式：
  • 12. 包含参数名称的请求： fmcfIdSelectedFnt
  • 13. 参数值具有高熵或包含异常字符的请求 fmcfIdSelectedFnt
• 服务器日志：
  • 14. 附近插件文件的 SQL 错误消息，例如，引用插件文件路径的错误。.
  • 15. 对插件端点的 4xx 或 5xx 响应频率升高。.
• 16. WordPress 伪造物：
  • 17. 具有可疑用户名的新管理员用户。.
  • 18. 对 (siteurl/home)、active_plugins 条目或主题文件的意外修改。 wp_options 19. 具有混淆 PHP 的 PHP 文件（.
• 文件系统：
  • 具有混淆 PHP 的 PHP 文件 (base64_解码 + 评估).
  • 新文件在 wp-content/上传 带有 .php 扩展名。.

当您检测到上述任何情况时，将其视为高优先级事件，并遵循事件响应检查表。.

---

针对网站所有者和管理员的沟通指导

如果您管理多个网站或提供托管服务，请清晰沟通：

• 通知利益相关者该插件存在高严重性未认证漏洞。.
• 建议立即采取行动：移除/禁用插件或应用 WAF 虚拟补丁。.
• 提供时间表：说明供应商补丁可能尚不可用，虚拟补丁是一个安全的临时措施。.
• 提供修复步骤，并在需要时提供远程协助。.

---

经常问的问题

问：我应该删除插件还是仅仅停用它？
答：如果您绝对需要插件功能并且无法暂时移除它，仅在停用会干扰关键功能时停用；否则在安全补丁存在之前移除。使用 WAF 进行虚拟补丁是一个可接受的短期缓解措施。.

问：如果我的网站在此建议发布后被插件作者修补了怎么办？
答：如果有官方更新可用，请在测试环境中进行测试，然后在生产环境中更新。更新后，扫描网站以查找妥协迹象并验证完整性。.

问：如果在插件活动时进行的备份是否安全恢复？
答：要小心——在插件存在时进行的备份如果发生过妥协，可能包含恶意修改。在恢复之前验证备份并扫描它们。.

---

检查表：立即行动（单页摘要）

• 清点网站并定位插件实例（版本 ≤ 1.2）。.
• 如果插件存在：立即停用或移除，或应用 WAF 虚拟补丁。.
• 应用 WAF 规则阻止可疑 fmcfIdSelectedFnt 值。.
• 检查日志以查找可疑请求和 SQL 错误。.
• 扫描新管理员用户、已更改的文件和计划任务。.
• 如果发现可疑活动，请更换凭据（管理员、FTP、数据库）。.
• 备份证据并在怀疑被攻击时启动事件响应。.
• 订阅供应商公告以获取更新，并在可用时执行官方补丁。.

---

立即保护您的网站 — 尝试 WP‑Firewall 的免费计划

如果您希望在评估和修复期间获得即时的基础保护，请考虑 WP‑Firewall 的基础（免费）计划。它提供基本的、管理的保护，以阻止已知的攻击模式并减少零日漏洞的暴露。.

计划亮点（基础 — 免费）：

• 管理的防火墙，配备调优的 WAF，能够阻止恶意输入和攻击指纹。.
• 在保护您的网站免受自动扫描器和攻击尝试的同时，提供无限带宽。.
• 恶意软件扫描器，用于查找可疑文件和更改。.
• 针对 OWASP 前 10 大风险的缓解措施，以降低成功攻击的可能性。.

对于像字体管理器 | 自定义字体中的未经身份验证的 SQL 注入等威胁的简单保护和快速缓解，您可以在此注册免费计划：
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

如果您需要更快的自动清理和虚拟补丁，我们的付费计划包括自动恶意软件删除、虚拟补丁、每月安全报告和专门的修复支持。.

---

最后说明和负责任的披露

本公告旨在帮助网站所有者和管理员保护他们的 WordPress 网站。我们避免分享利用代码以防止恶意重用 — 目标是快速、安全的缓解。如果您运营受影响的网站，请立即采取行动：移除或禁用插件，应用 WAF 保护，并检查日志以查找任何过去的利用。.

如果您需要帮助，WP‑Firewall 提供指导修复、事件响应和持续的虚拟补丁，以减少暴露，直到可用永久修复。我们还提供免费的基础保护，阻止常见的攻击尝试 — 这是任何网站所有者的实用第一步。.

保持警惕，保持软件更新，并加强您的 WordPress 部署。如果您有任何问题或需要帮助应用上述步骤，请通过您的 WP‑Firewall 控制台与我们的支持团队联系。.

---

参考资料（供管理员和技术团队使用）：
– CVE: CVE-2026-1800（公共公告标识符；请查看官方 CVE 数据库以获取更新）
– 一般 SQL 注入加固最佳实践和 OWASP 指南

（提示结束）