CVE-2026-24594CVE-2026-24594是WordPress插件Livemesh Addons for WPBakery Page Builder中的一个存储型跨站脚本(Stored XSS)安全漏洞。该漏洞存在于插件的多个功能模块中,攻击者可以利用此漏洞在受害者的网页中注入恶意JavaScript代码。由于是存储型XSS,恶意脚本会被永久保存在服务器端,所有访问包含恶意内容页面的用户都会受到攻击。漏洞影响版本从插件早期版本直至3.9.4版本。由于该插件被广泛用于WordPress网站构建页面,因此受影响的网站数量可能非常庞大。攻击者需要具有高权限(如管理员或编辑权限)才能利用此漏洞,但一旦成功,可以在受害者浏览器中执行任意JavaScript代码,窃取会话Cookie、劫持用户账户或进行钓鱼攻击。此漏洞由Patchstack安全团队于2026年1月发现并报告,CVSS 3.1评分5.9,属于中等严重程度。
该存储型XSS漏洞源于Livemesh Addons插件在处理用户输入时未能正确对特殊字符进行HTML转义。攻击者可以在插件的特定功能模块(如团队成员展示、客户Logo展示、定价表格等)中注入包含JavaScript代码的恶意payload。当这些数据被存储到数据库并在后续页面中渲染时,未经转义的恶意代码会被浏览器执行。攻击利用条件包括:1)攻击者需要拥有WordPress站点的高权限账户(管理员、编辑或作者角色);2)需要通过插件的输入接口提交恶意payload;3)payload会被永久存储在数据库中;4)当其他用户访问包含恶意内容的页面时,JavaScript代码会在其浏览器上下文中执行。攻击者通常利用此漏洞窃取管理员的认证Cookie,从而接管整个WordPress站点。由于攻击涉及用户交互(UI:R),攻击者可能通过社会工程学手段诱导管理员访问特定页面。