CVE-2026-0914CVE-2026-0914是WordPress平台下WP DSGVO Tools(也称为ShapePress DSGVO)插件的一个存储型跨站脚本(Stored XSS)安全漏洞。该插件是一款用于帮助网站符合欧盟通用数据保护条例(GDPR)的合规工具,广泛应用于需要处理欧盟用户数据的WordPress网站。漏洞根源在于插件的'lw_content_block'短代码功能对用户提供的属性参数缺乏充分的输入清理和输出转义处理。攻击者通过利用此漏洞,可以在具有贡献者(Contributor)级别权限的情况下,向网站页面注入任意恶意JavaScript脚本。由于是存储型XSS,恶意代码会被永久保存在服务器端,所有访问含毒页面的用户都会触发执行,可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重安全后果。此漏洞影响3.1.36及以下所有版本,CVSS评分6.4,属于中等严重程度。
该漏洞存在于WP DSGVO Tools插件的content-block-shortcode.php文件第17行附近的短代码处理逻辑中。当用户通过'lw_content_block'短代码向页面插入内容块时,插件直接将用户提供的属性值传递给前端输出,而未进行适当的HTML实体转义或输入验证。攻击者只需构造包含恶意JavaScript代码的属性参数,如在短代码属性中嵌入onerror、onload等事件处理器,即可实现持久化的脚本注入。由于WordPress的短代码机制会在页面渲染时自动执行这些代码,恶意脚本会被嵌入到页面HTML中并存储在数据库中。当其他用户访问包含该短代码的页面时,浏览器会解析并执行注入的JavaScript代码。攻击利用条件宽松,无需管理员权限,贡献者级别的账户即可实施攻击,且无需目标用户任何交互操作。攻击者可能利用此漏洞窃取管理员Cookie、篡改页面内容或进行进一步的内网渗透。