CVE-2026-1045CVE-2026-1045是WordPress Viet contact插件中的一个存储型跨站脚本(Stored XSS)漏洞。该漏洞存在于插件的管理设置功能中,由于插件在处理用户输入时未能进行充分的输入清理和输出转义,导致恶意JavaScript代码可以被永久存储在数据库中。攻击者利用此漏洞需要具备管理员级别或更高权限,成功注入后,恶意脚本会在用户访问受感染页面时自动执行,可能导致会话劫持、敏感信息窃取或进一步的管理权限提升。此漏洞仅影响多站点WordPress安装以及禁用了unfiltered_html功能的单站点安装。攻击复杂度为高,需要特定的管理员权限才能实施攻击。
该漏洞位于Viet contact插件的admin.php(第34行)和content.php(第11行)文件中。问题根源在于插件的管理员设置页面直接接收用户输入而未进行适当的输入验证和清理。具体表现为:1) 输入清理不足:插件未对管理员提交的配置参数进行充分的HTML标签过滤和JavaScript代码清理;2) 输出转义缺失:在显示这些配置内容时,插件未对特殊字符进行HTML实体编码转义,导致恶意脚本可以直接嵌入页面源代码。由于存储型XSS的特性,攻击载荷一旦注入成功,将永久保存在数据库中,每次相关页面被访问时都会触发执行。攻击者通常通过WordPress后台的管理设置界面注入恶意脚本,利用WordPress在多站点模式下的限制或unfiltered_html功能禁用状态绕过安全机制。