CVE-2026-24361CVE-2026-24361是WordPress插件LearnPress Course Review中的一个存储型跨站脚本(XSS)漏洞。该漏洞存在于ThimPress开发的LearnPress课程评论功能中,由于对用户输入内容缺乏充分的过滤和转义处理,攻击者可以在课程评论中注入恶意JavaScript代码。当其他用户访问包含恶意评论的页面时,注入的脚本代码将在其浏览器上下文中执行,可能导致会话劫持、敏感信息窃取或进一步的钓鱼攻击。此漏洞的CVSS评分为6.5,属于中等严重程度,攻击复杂度低,但需要低权限用户交互。攻击向量为网络形式,攻击者可利用此漏洞对网站访问者造成持续性危害。
该存储型XSS漏洞源于LearnPress Course Review插件在处理用户提交的课程评论时,未能正确对特殊字符进行HTML实体编码。当用户提交包含JavaScript脚本标签(如<script>alert('XSS')</script>)或事件处理器(如<img src=x onerror=alert(1)>)的评论内容时,这些恶意代码会被直接存储在数据库中。当其他用户浏览课程评论列表页面时,这些未经过滤的内容会被直接渲染到HTML页面中,导致恶意脚本在受害者浏览器中执行。攻击者可利用此漏洞窃取用户Cookie、会话令牌,或通过DOM操作重定向用户到恶意站点。由于是存储型XSS,攻击代码会持久存在于服务器端,所有访问该页面的用户都会受到影响。