CVE-2026-2121 CVSS 4.4 中危

CVE-2026-2121: Weaver Show Posts插件存储型XSS漏洞

披露日期: 2026-03-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-2121

漏洞类型

存储型跨站脚本 (Stored XSS)

CVSS评分

4.4 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Weaver Show Posts Plugin (WordPress)

漏洞概述

WordPress的Weaver Show Posts插件在所有1.8.1及之前版本中存在存储型跨站脚本（XSS）漏洞。该漏洞源于插件对用户提供的'add_class'参数未进行充分的输入清理和输出转义。拥有管理员及以上权限的认证攻击者可利用此漏洞，在页面中注入任意Web脚本。该问题主要影响WordPress多站点安装环境，因为在这种环境下，管理员通常不具备unfiltered_html权限，此漏洞可被用于绕过该安全限制。

技术细节

该漏洞位于插件的`includes/posts-widgets.php`文件中，具体涉及小工具渲染逻辑。当处理小工具配置时，插件直接将用户输入的`add_class`属性值拼接到HTML输出中，未使用`esc_attr()`等函数进行转义。在WordPress单站点中，管理员默认拥有`unfiltered_html`能力，可以发布任意HTML，因此该漏洞利用价值有限。但在WordPress多站点架构中，子站点管理员通常被剥夺了`unfiltered_html`权限以防止破坏性操作。攻击者可利用此漏洞，通过构造特定的Payload（如闭合属性并插入script标签）绕过这一限制。当超级管理员或其他用户访问受感染的前端页面时，注入的脚本将在其浏览器中执行，可能导致窃取Cookie或进行权限提升。

攻击链分析

STEP 1

攻击者获取WordPress多站点网络中某子站点的管理员账号凭证。

STEP 2

攻击者登录后台，进入“外观”->“小工具”页面，找到Weaver Show Posts小工具。

STEP 3

攻击者在小工具的'add_class'参数字段中注入恶意JavaScript载荷（如`"><script>alert(1)</script>`）。

STEP 4

攻击者保存小工具设置，恶意载荷被存储在数据库中。

STEP 5

诱导或等待具有更高权限（如超级管理员）的用户访问包含该小工具的前端页面。

STEP 6

受害者的浏览器解析页面时执行恶意脚本，可能导致Cookie窃取或会话劫持。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-2121
 * Context: WordPress Admin -> Appearance -> Widgets -> Weaver Show Posts
 * Parameter: add_class
 */

// Step 1: Navigate to the widget configuration.
// Step 2: Input the following payload into the 'add_class' input field.
const payload = '"><script>alert(1);</script><div class="';

// Step 3: Save the widget.
// The payload breaks the HTML attribute context:
// class="[USER_INPUT]"
// Becomes: class=""><script>alert(1);</script><div class=""

// Step 4: Visit the frontend page containing the widget.
// Result: The alert box will execute, demonstrating Stored XSS.

影响范围

Weaver Show Posts <= 1.8.1

防御指南

临时缓解措施

如果无法立即升级插件，建议暂时在多站点网络中停用Weaver Show Posts插件。或者，通过服务器端过滤机制，对传入的`add_class`参数进行严格的HTML实体编码审查，直到补丁应用完成。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表