CVE-2026-1575WordPress的Schema Shortcode插件在所有版本(包括1.0)中存在存储型跨站脚本(XSS)漏洞。该漏洞源于插件对用户提供的属性输入清理不足和输出转义不足,攻击者可利用`itemscope` shortcode注入恶意脚本。拥有投稿者及以上权限的经过身份验证的攻击者可利用此漏洞在页面中注入任意Web脚本,当用户访问被注入的页面时,脚本将执行,从而窃取用户信息或进行其他恶意操作。
该漏洞主要源于WordPress Schema Shortcode插件在处理`itemscope` shortcode时对用户输入属性缺乏严格的过滤和转义机制。插件代码直接将用户提交的属性值拼接到HTML标签中,且未通过WordPress的`esc_attr`等安全函数进行处理。攻击者可以利用这一缺陷,构造包含恶意JavaScript代码的shortcode。由于WordPress默认允许Contributor及以上级别的用户提交文章内容,攻击者无需管理员权限即可利用此漏洞。具体的利用方式是在文章内容中插入带有事件处理器(如onmouseover、onerror)或闭合标签的恶意shortcode。一旦文章被发布,任何访问该页面的用户都会触发XSS攻击。存储型XSS的危害在于其持久性,攻击者可以窃取管理员Cookie、重定向至钓鱼网站或利用管理员权限进一步控制服务器。