CVE-2026-1851 CVSS 6.4 中危

CVE-2026-1851 WordPress iVysilani插件存储型XSS漏洞

披露日期: 2026-03-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-1851

漏洞类型

存储型跨站脚本 (Stored XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress iVysilani Shortcode 插件

漏洞概述

WordPress 的 iVysilani Shortcode 插件在 3.0 及之前的所有版本中存在存储型跨站脚本（XSS）漏洞。该漏洞源于插件对 'width' shortcode 属性的输入清理和输出转义不足。具有 Contributor 级别及以上权限的认证攻击者可以利用此漏洞，在页面中注入任意 Web 脚本。一旦管理员或其他用户访问被注入的页面，恶意脚本即会在其浏览器环境中执行，从而可能导致账户劫持、敏感信息泄露等安全风险。

技术细节

漏洞出现在插件处理 Shortcode 的逻辑中。当插件解析 `[ivysilani]` 标签时，直接从属性中获取 'width' 参数的值，并将其未经转义地输出到 HTML 页面中。由于 WordPress 的 Contributor 角色通常拥有发布内容的权限（可能需审核），攻击者可以构造带有恶意的 'width' 属性值，例如插入事件处理器（如 onload/onmouseover）或闭合标签注入脚本。当具有更高权限的用户（如管理员）查看包含此恶意 Shortcode 的页面时，浏览器会解析并执行其中的恶意 JavaScript 代码。这种存储型 XSS 攻击利用了站点对受信任用户的信任，使得攻击者能够绕过同源策略限制，窃取管理员的 Session Cookie 或执行管理操作。

攻击链分析

STEP 1

信息收集

攻击者确认目标网站安装了易受攻击的 iVysilani Shortcode 插件版本。

STEP 2

获取权限

攻击者通过注册、钓鱼或暴力破解等方式获取一个至少拥有 Contributor 级别权限的 WordPress 账户。

STEP 3

构造载荷

攻击者构造针对 'width' 属性的恶意 Shortcode 载荷，包含 JavaScript 代码。

STEP 4

注入载荷

攻击者在网站文章或页面中插入包含恶意代码的 Shortcode 并发布或提交审核。

STEP 5

触发执行

当管理员或其他用户访问被注入的页面时，恶意脚本在浏览器中自动执行。

STEP 6

达成目的

攻击者利用执行环境窃取敏感信息（如 Cookie）或利用管理员权限进行后续操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2026-1851 -->
<!-- Usage: Add the following shortcode to a page/post as a Contributor user -->

[iVysilani width="600px" onmouseover="alert(document.cookie)"]

<!-- Alternative payload to break out of the attribute context -->
[iVysilani width="><script>alert('XSS')</script>"]

影响范围

iVysilani Shortcode <= 3.0

防御指南

临时缓解措施

如果无法立即升级插件，建议暂时禁用 iVysilani Shortcode 插件以消除风险。管理员应审查站点上由 Contributor 及以上权限发布的近期内容，搜索并删除包含可疑 Shortcode 的文章。同时，加强用户账户安全措施，防止低权限账户被攻破。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表