CVE-2026-1914 CVSS 6.4 中危

CVE-2026-1914: WordPress FuseDesk插件存储型XSS漏洞

披露日期: 2026-03-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-1914

漏洞类型

存储型跨站脚本

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress FuseDesk Plugin

漏洞概述

WordPress的FuseDesk插件在6.8及其之前版本中存在存储型跨站脚本（XSS）漏洞。该漏洞源于插件中`fusedesk_newcase`短代码的`emailtext`属性缺乏足够的输入清理和输出转义。拥有投稿者级别及以上权限的经过身份验证的攻击者可以利用此漏洞在页面中注入恶意Web脚本，当其他用户访问被注入的页面时，脚本将会执行，从而导致潜在的数据窃取或会话劫持。

技术细节

该漏洞主要归因于WordPress FuseDesk插件在处理自定义短代码时的不当编码实践。插件核心文件中的`fusedesk_newcase`函数用于渲染支持工单创建表单。在处理`emailtext`属性时，代码直接使用了用户提供的输入而未执行`esc_attr()`或`esc_html()`等WordPress标准转义函数。
攻击者利用Contributor级别的账户权限，在文章内容或页面中植入构造好的恶意短代码，例如将`emailtext`参数值设为包含JavaScript事件处理器或闭合标签的字符串。当数据提交至服务器并存储于数据库后，并未经过二次清理。随后，当管理员或其他用户浏览该特定页面时，服务器端解析短代码并将未转义的恶意载荷输出到HTML响应流中。浏览器解析该响应，触发脚本执行。由于是在管理员会话上下文中执行，攻击者可利用此漏洞进行提权、安装恶意插件或篡改站点数据。

攻击链分析

STEP 1

1. 获取权限

攻击者注册或获取一个拥有Contributor（投稿者）或更高级别权限的WordPress账户。

STEP 2

2. 注入Payload

攻击者在文章编辑器或页面内容中插入包含恶意JavaScript代码的`fusedesk_newcase`短代码，利用`emailtext`参数进行注入。

STEP 3

3. 存储数据

由于插件缺乏输出转义，恶意代码被存储在WordPress数据库中。

STEP 4

4. 触发漏洞

当管理员或其他用户访问包含该短代码的页面时，服务器解析短代码并输出未转义的内容，导致恶意脚本在受害者浏览器中执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2026-1914: Stored XSS in FuseDesk Plugin -->
<!-- Attacker with Contributor+ access injects the following shortcode in a post/page -->

[fusedesk_newcase emailtext='"><script>alert(document.cookie);</script>']

<!-- Alternatively, injecting an event handler if tag injection is blocked -->
[fusedesk_newcase emailtext=' onmouseover=alert(1) ']

<!-- When an admin visits the page containing this shortcode, the XSS triggers -->

影响范围

FuseDesk <= 6.8

防御指南

临时缓解措施

建议立即将插件升级到修复了该漏洞的最新版本。如果暂时无法升级，应严格限制编辑器的使用权限，仅允许信任的用户发布内容，或者禁用`fusedesk_newcase`短代码功能直到修复完成。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表