CVE-2026-0738 CVSS 6.4 中危

CVE-2026-0738: Shortcodes Ultimate插件存储型XSS漏洞

披露日期: 2026-04-04

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-0738

漏洞类型

Stored Cross-Site Scripting (存储型跨站脚本)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Shortcodes Ultimate Plugin

漏洞概述

WordPress Shortcodes Ultimate插件（7.4.8及以下版本）存在存储型跨站脚本（XSS）漏洞。该漏洞源于`su_carousel`短代码中`su_slide_link`附件元字段的输入消毒和输出转义不足。具有作者级及以上权限的攻击者可利用此漏洞在页面中注入恶意Web脚本，当用户访问被注入的页面时，脚本将自动执行，从而窃取用户凭证或进行恶意操作。

技术细节

该漏洞位于WordPress插件Shortcodes Ultimate的`su_carousel`短代码处理逻辑中。具体而言，插件在处理轮播幻灯片时，未对`su_slide_link`附件元字段进行充分的输入验证和输出转义。攻击者只需具备作者级别的权限，即可在编辑文章或页面时插入包含恶意载荷的轮播短代码。当攻击者保存内容后，恶意脚本被持久化存储在数据库中。一旦具有更高权限（如管理员）的用户或普通访客访问该页面，浏览器便会解析并执行其中的恶意JavaScript代码。由于CVSS向量中范围指标为S:C（Changed），该漏洞可能突破同源策略限制，利用浏览器的会话凭证执行进一步的操作，如劫持会话、篡改页面内容或植入后门。

攻击链分析

STEP 1

1. 获取权限

攻击者注册或获取一个具有作者级别及以上权限的WordPress账户。

STEP 2

2. 准备载荷

构造恶意的JavaScript代码（如窃取Cookie的脚本），准备进行注入。

STEP 3

3. 注入恶意代码

登录后台，新建或编辑文章/页面，插入`su_carousel`短代码，并在`su_slide_link`字段或相关附件元数据中输入恶意载荷（例如：javascript:alert(1)）。

STEP 4

4. 存储数据

发布文章，恶意代码被未经过滤地存储在网站的数据库中。

STEP 5

5. 触发漏洞

诱导受害者（如管理员）访问包含该轮播的文章页面。

STEP 6

6. 执行攻击

受害者的浏览器解析页面时执行恶意脚本，导致XSS攻击成功，可能窃取会话令牌或执行其他恶意操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2026-0738 -->
<!-- Attacker injects JavaScript via the 'su_slide_link' parameter or attachment meta -->

[su_carousel]
  [su_slide source="https://placehold.co/600x400" title="XSS" link="javascript:alert(document.cookie)"]
[/su_carousel]

<!-- Alternatively, if using attachment meta directly:
1. Upload an image.
2. Edit the attachment details.
3. Set the 'Link URL' or custom 'su_slide_link' meta to: javascript:alert(1)
4. Use the image in a carousel shortcode.
5. View the page to trigger the XSS.
-->

影响范围

Shortcodes Ultimate <= 7.4.8

防御指南

临时缓解措施

如果无法立即升级插件，建议暂时禁用Shortcodes Ultimate插件中的`su_carousel`功能，并严格审查和清理已发布的内容中是否存在可疑的短代码。同时，加强对用户输入的过滤机制，禁止在链接字段中使用`javascript:`协议。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表