CVE-2026-1889 CVSS 6.4 中危

CVE-2026-1889 WordPress Outgrow插件存储型XSS漏洞

披露日期: 2026-03-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-1889

漏洞类型

Stored Cross-Site Scripting (存储型XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Outgrow Plugin

漏洞概述

WordPress Outgrow插件在2.1及以下版本中存在存储型XSS漏洞。该漏洞源于对“outgrow”短代码“id”属性的输入清理和输出转义不足。具有投稿者及以上权限的认证攻击者可注入恶意脚本。当用户访问被注入页面时脚本将执行，可能导致信息窃取或会话劫持。

技术细节

该漏洞位于WordPress Outgrow插件的`outgrow`短代码处理逻辑中。在处理用户提交的内容时，插件未对短代码中的`id`参数进行严格的输入验证和安全过滤，直接将其存储在数据库中。当页面渲染时，插件从数据库读取该属性值并直接输出到HTML上下文中，未进行适当的HTML实体转义。由于WordPress允许投稿者级别的用户发布包含短代码的内容，攻击者可以构造恶意的`id`属性值（例如`onmouseover=alert(1)`或`"><script>`）。当管理员或其他用户浏览包含该短代码的文章页面时，嵌入的JavaScript代码将在受害者浏览器上下文中执行。由于是存储型漏洞，恶意脚本持久化存在于服务器端，攻击范围广，且利用门槛相对较低，无需用户交互即可触发，严重威胁网站用户的安全。

攻击链分析

STEP 1

1. 获取权限

攻击者注册或获取一个具有投稿者（Contributor）及以上权限的WordPress账户。

STEP 2

2. 注入Payload

攻击者登录后台，编辑或新建文章，在内容中插入包含恶意JavaScript代码的'outgrow'短代码（利用'id'属性）。

STEP 3

3. 存储恶意代码

文章被保存或发布后，恶意短代码及payload被存储在WordPress数据库中。

STEP 4

4. 触发漏洞

当管理员或其他用户访问包含该短代码的页面时，服务器解析页面，未经过滤的payload被输出到HTML中，导致受害者浏览器执行恶意脚本。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2026-1889: Stored XSS via 'outgrow' shortcode -->
<!-- Step 1: Authenticated attacker (Contributor+) creates a new post -->
<!-- Step 2: Inject the malicious shortcode in the post content -->

[outgrow id='" onmouseover="alert(1)"']

<!-- Alternative payload to break out of the attribute context -->
[outgrow id='"><script>alert(document.cookie)</script><']

<!-- Explanation: -->
<!-- The 'id' parameter lacks sanitization. When the page is viewed, -->
<!-- the injected JavaScript payload executes within the victim's browser context. -->

影响范围

WordPress Outgrow Plugin <= 2.1

防御指南

临时缓解措施

建议暂时禁用Outgrow插件直至更新补丁可用。配置WAF拦截包含恶意JavaScript特征的请求。审查并清理网站中由不可信用户发布的、包含异常`outgrow`短代码的内容。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表

CVE-2026-1889 WordPress Outgrow插件 存储型XSS漏洞