CVE-2026-1899 CVSS 6.4 中危

CVE-2026-1899: Any Post Slider插件存储型XSS漏洞

披露日期: 2026-03-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-1899

漏洞类型

存储型跨站脚本攻击

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Any Post Slider WordPress Plugin

漏洞概述

WordPress的Any Post Slider插件在1.0.4及之前的所有版本中存在存储型跨站脚本（XSS）漏洞。该漏洞是由于插件对`aps_slider`短代码中的`post_type`属性缺乏足够的输入清理和输出转义造成的。拥有投稿者及以上权限的经过身份验证的攻击者，可以在页面中注入任意Web脚本。一旦用户访问被注入的页面，恶意脚本即会在浏览器中执行，从而可能导致窃取会话令牌或进行恶意操作。

技术细节

该漏洞的根本原因在于插件在处理前端显示逻辑时，未对短代码参数进行严格的安全过滤。具体而言，当插件解析`[aps_slider]`短代码时，直接将用户可控的`post_type`参数值输出到了HTML页面中，而没有使用WordPress的转义函数（如`esc_attr`）。攻击者利用Contributor级别的账户权限，在编辑文章或页面时插入构造的恶意Payload（例如：`[aps_slider post_type='"><script>alert(document.cookie)</script>']`）。由于是存储型漏洞，该恶意内容会被保存到数据库中。当管理员或其他用户访问该特定页面时，服务器会返回包含未转义恶意脚本的HTML响应，导致脚本在受害者的浏览器上下文中执行。

攻击链分析

STEP 1

1. 获取权限

攻击者注册或获取一个具有Contributor（投稿者）及以上权限的WordPress账户。

STEP 2

2. 注入Payload

攻击者登录后台，新建或编辑一篇文章，在内容编辑器中插入包含恶意JavaScript代码的`aps_slider`短代码。

STEP 3

3. 存储恶意代码

攻击者保存或发布文章，恶意Payload被存储在WordPress数据库中。

STEP 4

4. 触发漏洞

当管理员或普通用户访问该受影响的文章页面时，服务器解析短代码并输出未转义的`post_type`参数。

STEP 5

5. 执行攻击

受害者的浏览器解析并执行注入的恶意脚本，导致Cookie窃取或权限提升。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2026-1899 Stored XSS -->
<!-- Usage: Add the following shortcode to a WordPress Post or Page with Contributor level access -->
[aps_slider post_type='"><script>alert("XSS")</script><']

<!-- Alternatively, using an img tag for stealth -->
[aps_slider post_type='"><img src=x onerror=alert(1)><']

影响范围

Any Post Slider <= 1.0.4

防御指南

临时缓解措施

在未升级插件之前，建议暂时禁用Any Post Slider插件。管理员应检查网站内容中是否包含异常的`aps_slider`短代码，并限制低级别用户（如Contributor）的文章发布权限，确保所有内容发布前经过审核。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表