CVE-2026-1397PQ Addons – Creative Elementor Widgets 插件在 1.0.0 及之前的所有版本中存在存储型跨站脚本(XSS)漏洞。该漏洞源于 PQ Section Title 小部件中的 `html_tag` 参数缺乏足够的输入清理和输出转义机制。拥有贡献者及以上权限的经过身份验证的攻击者可以利用此漏洞,在页面中注入任意 Web 脚本。当用户访问被注入的页面时,这些恶意脚本将会执行,从而可能导致账户劫持、恶意重定向或窃取敏感信息。
该漏洞位于 WordPress 插件 'PQ Addons – Creative Elementor Widgets' 的 'PQ Section Title' 小部件中。具体而言,在渲染小部件样式的 PHP 文件(如 `style-1.php` 和 `style-2.php`)中,代码直接输出了用户可控的 `html_tag` 参数,而未对其进行严格的上下文相关转义(例如使用 `esc_attr` 函数)。攻击者利用此漏洞需要具备至少“贡献者”级别的 WordPress 后台权限。攻击者可以在编辑页面时,向 PQ Section Title 小部件的 `html_tag` 属性字段中注入恶意的 JavaScript 代码(例如 `<img src=x onerror=alert(1)>`)。由于后端未对数据进行无害化处理,该载荷会被直接存储在数据库中。随后,当任何用户(包括管理员)访问包含该小部件的页面时,存储的恶意代码将被浏览器解析并执行,从而实现存储型 XSS 攻击。