CVE-2026-1275WordPress插件Multi Post Carousel by Category在所有1.4及以下版本中存在存储型跨站脚本攻击(Stored XSS)漏洞。该漏洞源于插件在处理'slides'短代码属性时,未对用户输入进行充分的清理和转义。拥有Contributor(投稿者)级别及以上权限的认证攻击者,可以利用此漏洞在页面中注入恶意Web脚本。当其他用户访问被注入的页面时,脚本将会自动执行,这可能导致敏感信息泄露或会话劫持。
该漏洞的技术根源在于插件源码中的`post_slides_shortcode`函数存在安全缺陷。该函数负责解析`[slides ...]`短代码及其属性,但在处理`slides`参数时,直接将用户可控的数据输出到HTML页面中,未进行任何安全过滤或HTML实体编码。攻击者只需具备WordPress的Contributor权限,即可在编辑文章或页面时,构造包含恶意JavaScript代码的短代码(例如利用`onerror`事件或直接插入`<script>`标签)。由于是存储型XSS,恶意载荷被持久化存储在数据库中。当管理员或其他高权限用户浏览该页面时,浏览器会解析并执行这段恶意脚本。结合CVSS向量中的S:C(范围变更),攻击者可利用此漏洞在管理员上下文中执行操作,进而可能完全控制WordPress站点。