CVE-2026-0552WordPress Simple Shopping Cart插件在5.2.4及之前的所有版本中存在一个存储型跨站脚本(XSS)漏洞。该漏洞源于插件在处理'wpsc_display_product'短代码时,未能对用户提供的属性进行充分的输入清理和输出转义。这允许拥有贡献者级别及以上权限的经过身份验证的攻击者,利用该漏洞在页面中注入任意Web脚本。一旦普通用户访问了被注入恶意脚本的页面,脚本将在其浏览器环境中自动执行。攻击者可借此窃取会话Cookie、重定向用户或进行其他恶意操作,对网站安全性构成威胁。
该漏洞的根本原因是不安全的输入处理机制。在WordPress生态中,Shortcode允许用户通过简短的标签动态生成内容。Simple Shopping Cart插件的'wpsc_display_product'短代码接受用户传入的属性参数,但在将这些参数渲染到HTML页面之前,缺少必要的安全过滤步骤(如 htmlspecialchars 或 esc_attr 函数的调用)。
在具体的攻击利用场景中,攻击者首先需要获取具备文章编辑权限(如贡献者角色)的账户凭证。登录后台后,攻击者在编辑文章时插入特制的短代码,例如将恶意JavaScript代码嵌入到属性值中。由于服务器端未进行转义,该恶意载荷被原样存储在数据库中。当管理员或其他访客浏览该文章时,插件解析短代码并直接输出未转义的属性值,导致浏览器将其解析为HTML/JavaScript并执行,从而完成攻击。