CVE-2026-1300WordPress Responsive Header插件在1.0及以下所有版本中存在存储型跨站脚本(Stored Cross-Site Scripting)漏洞。该漏洞源于插件的多个设置参数缺乏足够的输入清理(input sanitization)和输出转义(output escaping)。攻击者利用此漏洞可通过WordPress后台管理界面在插件配置参数中注入恶意JavaScript代码。由于是存储型XSS,恶意脚本会被永久保存在数据库中,当其他用户访问相关页面时会自动执行。值得注意的是,此漏洞的利用条件较为特殊,仅影响WordPress多站点(Multi-site)安装环境,或在单站点安装但已禁用unfiltered_html功能的站点中可被利用。攻击者需要具备管理员级别或更高的访问权限才能成功实施攻击。
该漏洞的根本原因在于Responsive Header插件的设置页面(rhp-settings.php)对用户输入的处理不当。在第103行附近的代码中,插件直接获取并保存用户提交的设置参数,而没有对其进行适当的HTML转义或内容安全策略验证。攻击者可以在插件的多个设置字段中注入包含JavaScript代码的恶意载荷,例如在标题、描述或其他文本输入框中插入<script>alert(String.fromCharCode(88,83,83))</script>或类似的事件处理器(如onerror、onload等)。由于这些数据在保存时未经过滤,且在页面渲染时也未进行输出转义,导致恶意脚本被浏览器作为合法代码执行。攻击成功后,攻击者可以窃取受害者的会话Cookie、劫持用户账户、执行任意操作或在网站范围内传播恶意内容。