CVE-2026-2277WordPress的rexCrawler插件在1.0.15及之前版本中存在反射型跨站脚本(XSS)漏洞。该漏洞源于搜索模式测试器页面对'url'和'regex'参数缺乏足够的输入清理和输出转义。未认证的攻击者可诱导管理员点击恶意链接,从而在管理员浏览器中执行任意Web脚本。此漏洞仅影响多站点安装或禁用了unfiltered_html功能的站点。
该漏洞位于WordPress rexCrawler插件的搜索模式测试器页面中,具体涉及对'url'和'regex'参数的处理。由于开发人员未实施充分的输入消毒机制,当攻击者向这些参数提交包含恶意JavaScript代码的载荷时,服务器端脚本会直接将其输出到HTTP响应中,而未进行必要的HTML实体转义。这种反射型XSS漏洞利用了管理员用户的信任上下文。攻击者必须进行社会工程学攻击(如发送钓鱼邮件),诱骗具有管理员权限的用户点击特制的恶意链接。一旦管理员访问该链接,嵌入的脚本将在其浏览器中执行。考虑到WordPress多站点安装或禁用了'unfiltered_html'的安装环境对HTML内容有更严格的限制,此漏洞在这些环境下尤为危险,因为它允许攻击者绕过这些限制,在管理员浏览器中执行代码,进而窃取Cookie、劫持会话或执行未授权操作。