CVE-2026-24576CVE-2026-24576是WordPress UX Flat插件中的一个存储型跨站脚本(XSS)漏洞,CVSS评分6.5,属于中等严重程度。该漏洞存在于COP UX Flat的ux-flat组件中,由于应用程序在Web页面生成过程中未正确对用户输入进行中和处理,导致攻击者可以在受影响系统中注入恶意JavaScript代码。当其他用户访问包含恶意脚本的页面时,攻击代码会在受害者浏览器中执行,从而窃取会话Cookie、劫持用户账户、进行钓鱼攻击或执行其他恶意操作。由于这是存储型XSS漏洞,恶意脚本会被永久保存在服务器端,所有访问受影响页面的用户都会受到攻击影响。该漏洞需要低权限认证(PR:L)才能利用,且需要用户交互(UI:R)触发,但攻击面覆盖所有使用该插件的WordPress站点。
该存储型XSS漏洞源于WordPress UX Flat插件在处理用户提交数据时缺乏适当的输入验证和输出编码。攻击者通过在插件的表单输入字段中注入恶意JavaScript代码(如<script>alert(document.cookie)</script>),该代码会被存储在数据库中。当其他用户访问受影响的页面时,服务器从数据库读取并展示这些未经过滤的数据,导致恶意脚本在用户浏览器中执行。攻击者可利用此漏洞窃取受害者的认证令牌、session ID,或通过DOM操作修改页面内容进行钓鱼攻击。由于该插件在前端多个位置使用用户可控的数据,攻击者只需找到任意一个未过滤的输出点即可实施攻击。成功利用此漏洞需要攻击者拥有WordPress注册用户账户(低权限即可),并诱使管理员或普通用户访问包含恶意代码的页面。