CVE-2026-1266WordPress的Postalicious插件存在严重的存储型跨站脚本(XSS)漏洞,漏洞编号CVE-2026-1266,CVSS评分4.4(中危)。该漏洞影响3.0.1及以下所有版本。问题根源在于插件的管理员设置页面缺乏足够的输入消毒和输出转义机制。具备管理员级别及以上权限的认证攻击者可以利用此漏洞在受影响的页面中注入任意JavaScript代码。当其他用户访问被注入的页面时,这些恶意脚本将自动执行,可能导致会话劫持、敏感信息窃取或进一步的横向移动。此漏洞仅影响多站点WordPress安装和禁用了unfiltered_html功能的站点。漏洞于2026年1月24日披露,发现者为[email protected]。
Postalicious插件在处理管理员设置参数时存在存储型XSS漏洞。攻击者通过在插件设置页面提交恶意构造的JavaScript代码,由于插件未对用户输入进行适当的sanitization处理,且在输出时缺少转义操作,导致恶意脚本被永久存储在数据库中。漏洞代码位于wp-postalicious.php文件的第316、533、541和548行附近。当管理员访问设置页面或相关功能模块时,存储的恶意脚本会被浏览器解析执行。由于攻击需要管理员权限,该漏洞主要威胁多站点WordPress环境或禁用了unfiltered_html的单站点环境。攻击者可通过此漏洞窃取管理员会话令牌、修改网站内容或进行进一步的系统渗透。