CVE-2026-2714WordPress Institute Management插件在5.5及以下版本中存在存储型跨站脚本(XSS)漏洞。该漏洞源于“Enquiry Form Title”设置缺乏足够的输入清理和输出转义。拥有管理员及以上权限的经过身份验证的攻击者可以注入恶意Web脚本。当用户访问受注入的页面时,这些脚本就会执行。此漏洞主要影响多站点安装以及禁用了unfiltered_html功能的安装环境。
该漏洞属于存储型XSS(Stored Cross-Site Scripting)。漏洞原理在于插件对后台设置中的“Enquiry Form Title”参数未进行严格的输入验证和输出编码。攻击者利用管理员权限进入插件设置页面,在标题字段中注入JavaScript代码(如<script>alert(1)</script>)。由于缺乏过滤,该恶意代码被存储在数据库中。当普通用户或管理员访问包含该标题的前端或后台页面时,浏览器会解析并执行该脚本。通常WordPress管理员拥有unfiltered_html权限,可以绕过XSS过滤,但在多站点网络或该权限被显式禁用的环境中,此限制被移除,使得攻击者能够利用该漏洞实施攻击,进而窃取Cookie、会话令牌或重定向用户。