CVE-2026-1845 CVSS 5.5 中危

CVE-2026-1845: WordPress Real Estate Pro插件存储型XSS漏洞

披露日期: 2026-04-22

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-1845

漏洞类型

存储型跨站脚本 (Stored XSS)

CVSS评分

5.5 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

WordPress Real Estate Pro Plugin

漏洞概述

WordPress Real Estate Pro插件在所有1.0.9及之前版本中存在存储型跨站脚本（XSS）漏洞。该漏洞源于插件对管理员设置页面的输入清理不足和输出转义缺失。具有管理员及以上权限的认证攻击者可以利用此漏洞在页面中注入任意Web脚本。当用户访问被注入的页面时，恶意脚本将在浏览器中执行。值得注意的是，该漏洞仅影响WordPress多站点安装环境或禁用了unfiltered_html权限的安装环境。

技术细节

该漏洞属于典型的存储型XSS。在WordPress生态中，通常管理员拥有`unfiltered_html`权限，但在多站点网络或特定配置下，该权限可能被禁用，此时WordPress会启用KSES等过滤机制。Real Estate Pro插件在处理管理员设置（如插件选项保存）时，未能在数据存入数据库前进行严格的输入验证和清理，也未在数据输出到前端页面时进行HTML实体编码。攻击者利用高权限账号登录后台，在插件设置的表单字段中提交恶意JavaScript Payload。该Payload被持久化存储。当其他用户访问渲染该数据的前端页面时，浏览器将解析并执行恶意代码，可能导致Cookie窃取、会话劫持或恶意操作。

攻击链分析

STEP 1

步骤1

攻击者获取目标WordPress站点管理员或更高权限的账号凭证。

STEP 2

步骤2

攻击者登录后台，导航至Real Estate Pro插件的设置页面。

STEP 3

步骤3

攻击者在存在漏洞的输入框中注入恶意JavaScript代码（如XSS Payload）并保存。

STEP 4

步骤4

恶意Payload被存储在数据库中，且未经过滤。

STEP 5

步骤5

普通用户或管理员访问包含该数据的前端页面。

STEP 6

步骤6

浏览器解析页面并执行恶意脚本，导致攻击者意图实现（如窃取凭证）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2026-1845 (Conceptual)
Target: WordPress Real Estate Pro Plugin <= 1.0.9
Description: Injecting script via vulnerable admin setting field.
-->

<script>
// Simulate a POST request to the vulnerable admin endpoint
fetch('/wp-admin/admin.php?page=re-pro-settings', {
  method: 'POST',
  headers: {
    'Content-Type': 'application/x-www-form-urlencoded',
  },
  // 'vulnerable_field' represents the parameter lacking sanitization
  body: 'vulnerable_field="><script>alert(document.cookie)</script>&action=save'
}).then(response => console.log('Payload injected successfully'));
</script>

影响范围

WordPress Real Estate Pro Plugin <= 1.0.9

防御指南

临时缓解措施

如果无法立即升级插件，建议暂时禁用Real Estate Pro插件以降低风险。同时，管理员应检查插件设置中是否已存在异常脚本内容，并加强多站点环境下的权限管理，确保只有受信任的用户拥有管理员权限。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表