CVE-2026-1913 CVSS 6.4 中危

CVE-2026-1913 WordPress插件存储型XSS漏洞

披露日期: 2026-04-22

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-1913

漏洞类型

存储型跨站脚本

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Gallagher Website Design WordPress Plugin

漏洞概述

该漏洞影响WordPress的Gallagher Website Design插件，版本范围涵盖2.6.4及以下。其根本原因在于插件对login_link短代码中的prefix属性缺乏充分的输入清理和输出转义机制。拥有贡献者及以上权限的认证攻击者可利用此缺陷在页面中注入任意恶意Web脚本。一旦受害者访问被植入脚本的页面，脚本便会自动执行，可能导致会话劫持或数据窃取等安全风险。

技术细节

该漏洞属于典型的存储型跨站脚本（Stored XSS）攻击。其技术核心在于WordPress插件对短代码属性的过滤机制缺失。具体而言，Gallagher Website Design插件在处理`login_link`短代码时，直接将用户传入的`prefix`属性值渲染到HTML响应中，未经过任何HTML实体编码或白名单校验。攻击者利用Contributor级别的账户权限，在发布内容时嵌入构造的恶意载荷，如将JavaScript代码注入到prefix属性中。由于是存储型漏洞，恶意载荷会持久化保存在数据库中。当高权限用户（如管理员）浏览受影响页面时，浏览器会解析恶意脚本。结合CVSS 3.1向量中的S:C（范围变更），该攻击可突破当前浏览器的安全隔离，以管理员的会话身份执行操作，从而实现窃取Cookie、会话劫持甚至进一步植入后门的目的。

攻击链分析

STEP 1

获取低权限账号

攻击者注册或获取一个具有Contributor（投稿者）及以上权限的WordPress账号。

STEP 2

注入恶意载荷

攻击者在编辑文章或页面时，插入包含XSS Payload的login_link短代码，利用prefix属性缺乏过滤的缺陷。

STEP 3

管理员触发漏洞

攻击者提交内容供审核，管理员在后台或前台访问该被注入的页面以进行审核。

STEP 4

执行恶意代码

管理员的浏览器解析并执行注入的JavaScript脚本，窃取Cookie或执行未授权操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for Stored XSS in Gallagher Website Design Plugin -->
<!-- Usage: Add this shortcode to a page or post with Contributor+ access -->
[login_link prefix='"><script>alert(document.cookie);</script><']
<!-- The script executes when an admin views the page -->

影响范围

Gallagher Website Design <= 2.6.4

防御指南

临时缓解措施

如果无法立即升级插件，建议暂时禁用该插件的功能。此外，网站管理员应撤销Contributor级别用户直接发布文章的权限，要求其仅能提交草稿，确保所有内容在发布前经过人工审核，防止恶意短代码被发布到前端。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表