CVE-2026-27070CVE-2026-27070是WordPress插件Everest Forms Pro中的一个高危存储型跨站脚本(XSS)漏洞。CVSS评分7.1,属于高危级别。该漏洞源于Everest Forms Pro插件在处理用户输入时未能正确对输入内容进行消毒和转义,导致攻击者可以在表单字段中注入恶意JavaScript代码。当其他用户访问包含恶意代码的页面时,注入的脚本会被执行,从而窃取用户会话cookie、劫持用户账户或进行其他恶意操作。此漏洞无需认证即可利用,但需要用户交互才能触发。由于是存储型XSS,恶意脚本会被永久保存在服务器端,影响所有访问该页面的用户。
Everest Forms Pro插件的1.9.10及之前版本存在存储型XSS漏洞。漏洞出现在表单字段处理逻辑中,当插件保存用户提交的表单数据时,未对特殊字符进行适当的HTML转义。攻击者可以在表单输入框中注入包含<script>标签或事件处理器(如onerror、onload等)的恶意代码。提交的恶意数据会被存储在WordPress数据库中,当管理员或其他用户查看表单提交记录或相关页面时,浏览器会解析并执行这些恶意脚本。攻击者利用此漏洞可以获取受害者的认证凭据、修改页面内容或进行钓鱼攻击。由于该插件广泛用于WordPress网站构建联系表单、调查问卷等,漏洞影响范围较大。