CVE-2026-0703 CVSS 6.4 中危

CVE-2026-0703: NextMove Lite插件存储型XSS漏洞

披露日期: 2026-05-02

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-0703

漏洞类型

存储型跨站脚本 (Stored XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

NextMove Lite – Thank You Page for WooCommerce

漏洞概述

WordPress插件“NextMove Lite – Thank You Page for WooCommerce”在2.23.0及之前的所有版本中存在存储型跨站脚本（XSS）漏洞。该漏洞源于插件对“xlwcty_current_date”短代码中用户提供的属性缺乏足够的输入清理和输出转义。拥有贡献者级别及以上权限的认证攻击者可以利用此漏洞注入恶意Web脚本。当其他用户访问被注入的页面时，脚本将在其浏览器中执行，可能导致会话劫持或敏感信息窃取。

技术细节

该漏洞位于插件的短代码处理逻辑中，具体涉及 `xlwcty_current_date` 短代码。由于开发人员未对用户输入的属性进行严格的过滤和转义，攻击者可以在短代码参数中插入JavaScript代码。例如，攻击者可以在WooCommerce感谢页面的配置中，利用贡献者权限编辑页面内容，插入包含恶意Payload的短代码。当该短代码被渲染时，未经过滤的恶意代码会被直接输出到HTML页面中。由于是存储型XSS，恶意脚本会持久化存储在服务器端，任何访问该页面的用户都会触发XSS攻击，结合CVSS向量中的S:C（范围改变），该漏洞的影响范围可扩展至同源下的其他页面或上下文。

攻击链分析

STEP 1

步骤1

攻击者获取具有贡献者级别或更高权限的WordPress账户凭证。

STEP 2

步骤2

攻击者登录后台，编辑页面或文章，在 `xlwcty_current_date` 短代码的属性中注入恶意JavaScript Payload。

STEP 3

步骤3

攻击者发布或提交包含恶意短代码的内容，Payload被存储在数据库中。

STEP 4

步骤4

管理员或普通用户访问受感染的页面，服务器解析短代码并将恶意脚本输出到用户浏览器。

STEP 5

步骤5

用户的浏览器执行恶意脚本，攻击者可借此窃取Cookie或执行进一步操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2026-0703
Vulnerable Shortcode: xlwcty_current_date
-->
<!-- 1. Log in as a Contributor. -->
<!-- 2. Edit a page and insert the following shortcode: -->
[xlwcty_current_date format="Y" extra_attr='"><script>alert(document.cookie)</script>']
<!-- 3. View the page. The script executes. -->

影响范围

NextMove Lite – Thank You Page for WooCommerce <= 2.23.0

防御指南

临时缓解措施

建议立即将插件升级到最新版本以修复此漏洞。如果无法立即升级，应暂时禁用该插件，或严格限制具有内容发布权限的用户账户，确保只有受信任的管理员可以编辑包含短代码的页面。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表