CVE-2026-3005 CVSS 6.4 中危

CVE-2026-3005 WordPress List category posts插件存储型XSS漏洞

披露日期: 2026-04-09

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-3005

漏洞类型

存储型跨站脚本攻击

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress List category posts 插件

漏洞概述

WordPress List category posts插件在0.94.0及之前版本中存在存储型跨站脚本（XSS）漏洞。该漏洞源于插件的'catlist'短代码未能对用户提供的属性进行充分的输入清理和输出转义。拥有投稿人及以上权限的认证攻击者可利用此漏洞在页面中注入任意恶意Web脚本。一旦其他用户访问受感染的页面，恶意脚本将自动执行，可能导致用户会话劫持或敏感信息泄露。

技术细节

该漏洞位于WordPress插件“List category posts”中，主要涉及`catlist`短代码对用户输入属性的处理机制。在受影响版本（0.94.0及以下）中，插件在解析`catlist`短代码的属性时，未能对用户提交的参数（如缩略图相关参数）实施足够的输入净化和输出转义。具体代码层面可能未正确使用WordPress的转义函数（如`esc_attr`或`esc_html`），导致攻击者注入的特定字符被直接渲染为HTML标签。

攻击者只需具备投稿人级别的最低权限，即可在发布文章或编辑页面时嵌入恶意构造的`[catlist]`短代码。由于插件直接将这些未经过滤的属性值输出到前端页面的HTML源码中，当管理员或其他用户访问该页面时，浏览器会解析并执行其中包含的恶意JavaScript脚本。这种存储型XSS攻击不仅破坏了页面完整性，还可被用于窃取Cookie、会话令牌，甚至结合其他漏洞提升权限。

攻击链分析

STEP 1

步骤1

攻击者获取WordPress具有投稿人（Contributor）及以上权限的账户。

STEP 2

步骤2

攻击者登录后台，编辑或新建一篇文章/页面。

STEP 3

步骤3

攻击者在内容中插入包含恶意JavaScript代码的`[catlist]`短代码。

STEP 4

步骤4

攻击者发布文章（或提交审核），恶意脚本被存储到数据库中。

STEP 5

步骤5

管理员或普通用户访问该文章页面。

STEP 6

步骤6

浏览器解析页面时触发XSS，执行恶意脚本，攻击者窃取凭证或执行恶意操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2026-3005 Stored XSS -->
<!-- 1. Log in to WordPress with a Contributor role or higher. -->
<!-- 2. Create a new Post. -->
<!-- 3. Switch to Text/Code editor mode. -->
<!-- 4. Insert the following shortcode payload: -->

[catlist id=1 thumbnail_size='100x100" onmouseover="alert(1)']

<!-- 5. Publish or Submit the post for review. -->
<!-- 6. When an admin or user views the post, hovering over the affected element triggers the alert. -->

影响范围

List category posts <= 0.94.0

防御指南

临时缓解措施

如果无法立即升级插件，建议暂时禁用该插件以防止漏洞被利用。或者修改WordPress设置，强制所有投稿人发布的文章必须经过管理员审核，以便管理员在发布前检查并删除包含恶意短代码的内容，从而阻断攻击链。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表