CVE-2026-1093 CVSS 6.4 中危

CVE-2026-1093 WPFAQBlock插件存储型XSS漏洞

披露日期: 2026-03-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-1093

漏洞类型

存储型跨站脚本

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WPFAQBlock – FAQ & Accordion Plugin For Gutenberg

漏洞概述

WPFAQBlock WordPress 插件在 1.1 及之前版本中存在存储型跨站脚本（XSS）漏洞。该漏洞源于 'wpfaqblock' 短代码的 'class' 参数缺乏足够的输入清理和输出转义。拥有 Contributor（投稿者）及以上权限的经过身份验证的攻击者可以利用此漏洞在页面中注入任意 Web 脚本，当用户访问被注入的页面时，脚本将在浏览器中执行，可能导致会话劫持或重定向。

技术细节

该漏洞的核心成因在于 WPFAQBlock 插件对 'wpfaqblock' 短代码中的 'class' 参数处理不当。插件在接收用户输入的属性值时，未实施严格的输入清洗机制，且在后续的 HTML 渲染阶段直接将其拼接至标签属性中，导致输出转义失效。具备 Contributor（投稿者）及以上权限的攻击者可利用此缺陷，构造包含恶意 JavaScript 代码的短代码 Payload（如通过闭合引号注入事件处理器）。该 Payload 被持久化存储于数据库后，一旦管理员或普通用户访问渲染了该短代码的页面，恶意脚本即会在其浏览器环境中自动执行。这种存储型 XSS 攻击方式隐蔽性强，危害范围广，常被用于窃取管理员 Cookie、会话令牌或进行钓鱼攻击。

攻击链分析

STEP 1

1. 获取权限

攻击者注册或获取一个具有 Contributor（投稿者）或更高权限的 WordPress 账户。

STEP 2

2. 注入 Payload

攻击者登录后台，新建或编辑文章，在内容中插入包含恶意 JS 代码的 'wpfaqblock' 短代码，利用 'class' 参数进行注入。

STEP 3

3. 存储 Payload

文章被提交并发布（或待审核），恶意短代码被存储在 WordPress 数据库中。

STEP 4

4. 触发漏洞

管理员或其他用户访问受影响的页面，页面渲染时解析短代码并输出未转义的 'class' 属性。

STEP 5

5. 执行攻击

恶意 JavaScript 代码在受害者的浏览器上下文中执行，攻击者可借此窃取 Cookie 或执行进一步操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2026-1093 Stored XSS -->
<!-- Usage: Add the following shortcode to a WordPress post or page -->

[wpfaqblock class='"><script>alert(1)</script>']

<!-- Alternatively, if quotes are not escaped, use event handlers -->
[wpfaqblock class=' onmouseover=alert(1) ']

<!-- Explanation: The 'class' parameter is not sanitized, allowing injection of arbitrary script tags or event handlers. -->

影响范围

WPFAQBlock <= 1.1

防御指南

临时缓解措施

建议立即检查并更新 WPFAQBlock 插件。如果无法立即更新，应暂时禁用该插件以消除风险。对于无法停机的系统，应严格限制投稿者及以上级别的账户权限，确保只有受信任的人员可以发布内容，并结合安全插件对短代码参数进行过滤。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表