CVE-2026-1607WordPress的Surbma | Booking.com Shortcode插件存在一个严重的存储型跨站脚本(XSS)漏洞,该漏洞影响到所有版本(包括2.1及以下)。问题的根源在于插件未能对`surbma-bookingcom`短代码中的用户输入属性进行充分的输入清理和输出转义。这使得拥有贡献者级别或更高权限的攻击者能够向页面中注入恶意的Web脚本。一旦普通用户访问了被篡改的页面,这些脚本就会在其浏览器上下文中自动执行,可能导致窃取用户凭证、会话劫持或其他恶意行为。
该漏洞位于WordPress插件“Surbma | Booking.com Shortcode”的核心功能实现中,具体涉及`surbma-bookingcom`短代码的处理逻辑。在插件源代码中,处理短代码属性的函数直接将用户提供的参数拼接并输出到前端HTML页面,而未实施任何有效的输入验证或上下文相关的输出转义。这种不安全的编码方式允许攻击者通过特定的短代码属性注入恶意载荷。攻击者只需具备WordPress的“贡献者”权限,即可在撰写文章时插入包含恶意JavaScript的短代码。由于是存储型XSS,恶意脚本会被持久化存储在数据库中。当管理员或任何具有高权限的用户访问受感染的文章页面时,浏览器会解析并执行注入的脚本。这种攻击方式隐蔽性强,危害性大,常被用于窃取Cookie、管理权限或进行钓鱼攻击。