CVE-2026-23979Softwebmedia开发的Gyan Elements WordPress插件中存在一处反射型跨站脚本(XSS)漏洞。该漏洞源于Web页面生成过程中未能对用户输入进行适当中和。攻击者可利用此漏洞诱导受害者访问特制的恶意URL,从而在受害者的浏览器上下文中执行任意JavaScript代码。此漏洞影响从n/a到2.2.1的所有版本,由于无需认证且需要用户交互,被评定为高危风险,可能导致敏感信息泄露或会话劫持。
该漏洞属于反射型跨站脚本攻击(Reflected XSS),核心原因在于Gyan Elements插件在Web页面生成时未能对用户输入进行适当中和。具体而言,插件处理特定HTTP请求参数的代码逻辑中,缺乏对特殊字符(如<, >, ", ')的过滤或转义机制。攻击者可以利用这一缺陷,构造包含恶意JavaScript载荷的URL链接。由于CVSS向量显示无需认证(PR:N)且攻击复杂度低(AC:L),任何能够诱导受害者点击链接的攻击者均可利用此漏洞。当受害者访问被构造的恶意URL时,服务器端应用会将未经过滤的参数值直接反射回HTTP响应的HTML文档中。受害者的浏览器解析HTML时,会将注入的脚本当作有效代码执行。此过程利用了浏览器的同源策略,使得恶意脚本能够访问该域下的敏感数据(如Cookie、本地存储),甚至修改页面内容执行钓鱼攻击。尽管需要用户交互(UI:R),但由于其影响范围(S:C)涵盖低等级的机密性、完整性和可用性损害,该漏洞具有较高的安全风险。