CVE-2026-1191CVE-2026-1191是WordPress的JavaScript Notifier插件中存在的一个存储型跨站脚本(XSS)漏洞。该漏洞影响1.2.8及之前的所有版本,源于插件设置页面中用户输入的验证和转义机制不完善。攻击者通过利用wp_footer动作中的用户提供的属性,注入恶意JavaScript代码。由于漏洞属于存储型XSS,恶意脚本会被永久保存在数据库中,当用户访问包含注入代码的页面时,脚本会自动执行。成功利用此漏洞需要攻击者具备管理员级别权限。攻击者可利用此漏洞窃取会话Cookie、劫持用户操作、植入恶意重定向或进行钓鱼攻击,对网站和用户安全构成威胁。
该漏洞的根本原因在于JavaScript Notifier插件的wp_footer动作处理程序对用户输入的属性值缺乏充分的输入清理和输出转义。插件在1.2.8版本中通过wp_footer钩子输出用户配置的JavaScript代码,但未能正确过滤特殊字符如<、>、"、'等。攻击者(具有管理员权限)可通过插件设置界面注入包含恶意JavaScript代码的payload,该payload会被存储在WordPress数据库中。当任何用户访问网站页面时,存储的恶意脚本会随页面一起被加载执行。由于攻击者拥有管理员权限,他们可以直接访问插件设置页面,通过修改插件配置参数来注入XSS payload。攻击成功后,恶意脚本拥有当前访问用户的权限上下文,可执行任意客户端操作。