CVE-2026-1503WordPress的login_register插件在1.2.0及之前版本中存在严重的跨站脚本漏洞。该漏洞源于插件设置页面缺乏nonce验证机制,同时未对'login_register_login_post'参数进行充分的输入清理和输出转义。这使得未经身份验证的攻击者能够通过诱导管理员点击恶意链接,利用CSRF方式向服务器注入任意Web脚本。一旦管理员访问被注入的页面,恶意脚本即会在其浏览器中执行,可能导致账户劫持或其他恶意操作。
该漏洞利用了CSRF与Stored XSS的组合攻击链。首先,插件的后台设置页面(login_register_admin.php)在处理保存请求时,未验证WordPress的nonce令牌,导致无法区分合法的管理员请求和伪造的跨站请求。其次,插件在处理'login_register_login_post'参数时,未过滤特殊字符(如<, >, '),直接将其存入数据库。攻击者构造一个HTML表单,自动向插件设置接口发起POST请求,载荷为恶意JavaScript代码。当管理员在已登录状态下访问攻击者控制的页面时,浏览器会自动提交该表单。服务器接受请求并将恶意代码存储。当管理员随后查看插件设置页面时,代码被渲染并执行,从而窃取Cookie或执行管理员权限下的操作。