CVE-2026-24355CVE-2026-24355是WordPress平台Houzez Theme - Functionality插件中的一个高危安全漏洞,属于存储型跨站脚本攻击(Stored XSS)类型。该漏洞存在于插件的houzez-theme-functionality功能模块中,由于应用程序在处理用户输入时未对特殊字符进行适当的转义或过滤,导致恶意JavaScript代码可以被永久存储在服务器端。当其他用户访问包含恶意代码的页面时,攻击者注入的脚本将在受害者浏览器中执行,从而窃取会话Cookie、劫持用户账户、执行未经授权的操作或进行钓鱼攻击。此漏洞的CVSS评分为6.5(中等严重程度),攻击向量为网络范围,需要低权限认证和用户交互。攻击者可以利用此漏洞对使用该主题的网站造成严重影响,尤其是房地产网站等商业平台。由于存储型XSS的特点,恶意代码会长期存在于数据库中,除非进行专门清理,否则即使原始攻击者停止攻击,漏洞影响仍会持续存在。
该存储型XSS漏洞源于Houzez Theme - Functionality插件在处理用户提交数据时缺乏输入验证和输出编码。攻击者可以通过WordPress的评论、表单提交或特定功能模块注入恶意JavaScript代码(如<script>标签或事件处理器)。这些恶意代码被存储在WordPress数据库的相应表中(如wp_comments、wp_postmeta或自定义表)。当管理员或其他用户访问受影响的前台页面或后台管理界面时,浏览器会解析并执行存储的恶意脚本。攻击者可利用此漏洞获取受害者的认证令牌(cookie),从而接管管理员账户,进一步上传恶意插件或修改网站内容。在某些配置下,攻击者还可能通过XSS漏洞进行横向移动,访问其他用户的数据或执行服务器端命令。由于该插件广泛用于房地产网站,攻击者可能针对房产信息提交功能或搜索功能进行攻击测试。