CVE-2026-0800 CVSS 7.2 高危

CVE-2026-0800 WordPress User Submitted Posts插件存储型XSS漏洞

披露日期: 2026-01-24

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-0800

漏洞类型

存储型XSS

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

User Submitted Posts WordPress插件

漏洞概述

User Submitted Posts插件存在严重安全漏洞，允许未认证攻击者注入恶意脚本。攻击者利用自定义字段输入框，绕过输入验证机制，将恶意JavaScript代码存储在数据库中。当其他用户访问包含该恶意代码的页面时，脚本将自动执行，可能导致会话劫持、敏感信息窃取或网页篡改等严重后果。

技术细节

漏洞源于插件对用户提交内容的过滤机制不完善，攻击者可通过在自定义字段中嵌入<script>标签或事件处理器来触发XSS攻击。

攻击链分析

STEP 1

攻击者识别存在漏洞的WordPress站点

STEP 2

通过评论或联系表单提交恶意XSS payload

STEP 3

payload被存储在数据库中

STEP 4

受害者访问页面时触发恶意脚本执行

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

POST /wp-comments-post.php HTTP/1.1
Host: target.com
Content-Type: application/x-www-form-urlencoded

comment=<script>alert(document.cookie)</script>&comment_post_ID=1&user_id=1

影响范围

User Submitted Posts < 20260101

防御指南

临时缓解措施

暂时禁用插件或限制评论提交功能

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表