IPBUF安全漏洞报告
English
CVE-2026-2305 CVSS 6.4 中危

CVE-2026-2305: WordPress插件存储型XSS漏洞

披露日期: 2026-04-10
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-2305
漏洞类型
存储型跨站脚本
CVSS评分
6.4 中危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
WordPress AddFunc Head & Footer Code插件

相关标签

XSSStored XSSWordPressCVE-2026-2305Plugin Vulnerability

漏洞概述

WordPress插件AddFunc Head & Footer Code在2.3及以下版本中存在存储型XSS漏洞。由于插件在输出 `aFhfc_head_code` 等元数据时未进行充分的清理和转义,且未正确使用 `register_meta()` 的 `auth_callback` 保护这些键,导致具有投稿人及以上权限的认证攻击者可以通过自定义字段注入恶意脚本。当管理员预览或查看文章时,脚本将在管理员上下文中执行。

技术细节

该漏洞的根本原因在于插件对Post Meta数据的保护机制不足。虽然插件限制了其自定义Meta框的显示和保存仅限管理员,但未在底层通过 `register_meta()` 注册受保护的元键。在WordPress中,未注册的元键默认允许具有 `edit_post` 权限的用户(如Contributor)通过标准的自定义字段接口进行修改。攻击者可利用此机制,在文章编辑页面的自定义字段中添加 `aFhfc_head_code` 或 `aFhfc_footer_code`,并赋值为JavaScript恶意代码。当管理员访问该文章进行预览或审核时,插件会直接将未经过滤的代码输出到HTML页面的头部或底部,从而触发存储型XSS攻击,导致管理员会话被劫持。

攻击链分析

STEP 1
1. 获取低权限账号
攻击者注册或获取一个具有Contributor(投稿人)或更高权限的WordPress账号。
STEP 2
2. 编辑文章并注入Payload
攻击者登录后台,编辑或新建文章,在“自定义字段”区域添加键名为 `aFhfc_head_code` 或 `aFhfc_footer_code`,键值为恶意JavaScript代码。
STEP 3
3. 保存文章
攻击者保存文章状态为草稿或提交审核,此时恶意代码已存储在数据库中。
STEP 4
4. 诱导管理员访问
攻击者诱导管理员在后台预览或查看该文章。
STEP 5
5. 执行攻击
管理员加载页面时,插件从数据库读取未过滤的Meta值并输出到前端,导致恶意脚本在管理员浏览器上下文中执行。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
// Exploit Title: WordPress AddFunc Head & Footer Code < 2.3 - Stored XSS (Contributor+) // Description: Inject malicious script via Custom Fields // 1. Login as a user with 'Contributor' role or higher. // 2. Create or Edit a Post. // 3. Expand the "Custom Fields" section (or enable it via Screen Options). // 4. Enter new Custom Field Name: aFhfc_head_code // 5. Enter Value: <script>alert(document.cookie);</script> // 6. Click "Add Custom Field" and save/update the post. // 7. Ask an Administrator to preview the post. // Result: The alert box will execute in the Administrator's browser session. // HTML Payload Example: // <img src=x onerror=alert('XSS')>

影响范围

AddFunc Head & Footer Code <= 2.3

防御指南

临时缓解措施
如果无法立即升级,建议暂时禁用该插件。或者可以通过在主题的 `functions.php` 文件中添加代码片段,强制对 `aFhfc_head_code` 等Meta值进行 `sanitize_text_field` 或 `esc_html` 处理,以过滤潜在的恶意脚本。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表