CVE-2026-1379WordPress HTTP Headers插件在1.19.2及之前版本中存在存储型跨站脚本(XSS)漏洞。该漏洞源于管理员设置页面缺乏足够的输入清理和输出转义机制。拥有管理员及以上权限的攻击者可利用此漏洞在页面中注入任意Web脚本。此问题主要影响多站点安装或已禁用unfiltered_html功能的WordPress环境,普通用户访问被注入页面时将触发脚本执行。
该漏洞位于WordPress HTTP Headers插件的手动配置功能中,核心问题在于`manual.php`文件对用户输入的处理不当。在受影响版本中,插件未对管理员提交的HTTP头相关参数进行严格的输入验证和安全过滤,导致恶意字符(如尖括号、引号等)未被转义直接持久化存储到数据库中。当后续系统渲染插件设置页面时,这些未经过滤的数据被直接嵌入到HTML上下文中,造成存储型XSS。尽管需要管理员权限才能触发,但该漏洞在特定场景下具有风险。通常WordPress管理员默认拥有`unfiltered_html`权限,本身就可以发布脚本,因此该漏洞主要针对多站点网络环境(其中超级管理员以外的管理员可能受限)或禁用了`unfiltered_html`功能的高安全配置单站点环境。攻击者可在HTTP头设置字段中注入JavaScript载荷,一旦其他用户访问特定管理页面,载荷便会执行,可能导致窃取Cookie或进行提权操作。