CVE-2026-2437 CVSS 6.4 中危

CVE-2026-2437: WP Travel Engine插件存储型XSS漏洞

披露日期: 2026-04-04

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-2437

漏洞类型

存储型跨站脚本攻击 (Stored XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WP Travel Engine – Tour Booking Plugin

漏洞概述

WordPress的WP Travel Engine插件在6.7.5及之前版本中存在存储型跨站脚本（XSS）漏洞。该漏洞源于插件对'wte_trip_tax'短代码的用户属性输入清理和输出转义不足。拥有投稿人及以上权限的认证攻击者可利用此漏洞注入恶意Web脚本，当用户访问受影响的页面时，脚本将在浏览器中执行，可能导致敏感信息窃取或权限提升。

技术细节

该漏洞的根源在于WordPress Shortcode处理机制中的输入验证缺失。WP Travel Engine插件的`wte_trip_tax`短代码允许用户传递自定义属性，但在渲染HTML时，未对这些属性进行严格的HTML实体转义或白名单过滤。攻击者可以在短代码属性中注入JavaScript事件处理器（如`onmouseover`、`onerror`等），或者通过引号闭合现有属性以插入新的HTML标签。由于是存储型XSS，恶意载荷被持久化存储在数据库中。一旦管理员或普通用户访问包含该短代码的页面，恶意脚本即会在客户端上下文中执行，攻击者可借此绕过同源策略，获取用户Cookie或执行管理员操作。

攻击链分析

STEP 1

1. 获取权限

攻击者注册或控制一个具有投稿人级别及以上权限的WordPress账户。

STEP 2

2. 注入Payload

攻击者在编辑文章或页面时，插入包含恶意JavaScript事件的`wte_trip_tax`短代码。

STEP 3

3. 存储Payload

攻击者提交文章，恶意短代码被保存到WordPress数据库中。

STEP 4

4. 触发漏洞

管理员或其他用户浏览该文章，服务器解析短代码并返回包含恶意脚本的HTML页面。

STEP 5

5. 执行攻击

受害者的浏览器执行恶意脚本，攻击者可窃取Session或执行进一步操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC: Insert the following shortcode into a post/page as a Contributor -->
[wte_trip_tax id="1" onmouseover="alert('XSS by CVE-2026-2437')"]

影响范围

WP Travel Engine <= 6.7.5

防御指南

临时缓解措施

建议立即将WP Travel Engine插件更新至最新版本以修复此漏洞。如果暂时无法升级，应严格限制投稿人及以上级别用户的发布权限，并检查现有内容中是否包含可疑的短代码，直到应用补丁为止。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表