CVE-2026-31918CVE-2026-31918是WordPress插件immonex Kickstart中的一个存储型跨站脚本(XSS)漏洞。该漏洞由于应用程序在生成Web页面时未正确对用户输入进行中和处理,导致攻击者可以在受害者访问受影响页面时执行恶意JavaScript代码。immonex Kickstart是一款用于房地产网站建设的WordPress插件,版本从n/a到1.13.0均受影响。由于该漏洞为存储型XSS,恶意脚本会被永久保存在服务器端,所有访问包含恶意内容页面的用户都会受到攻击影响。攻击者可利用此漏洞窃取用户会话Cookie、劫持用户账户、进行钓鱼攻击或传播恶意软件。
该漏洞属于典型的存储型XSS(Stored XSS)漏洞。在immonex Kickstart插件的某个输入字段中,攻击者可以注入恶意JavaScript代码。由于插件未对用户输入进行充分的输入验证和输出编码,恶意脚本会被存储在数据库中。当其他用户访问包含该恶意内容的页面时,服务器会将存储的恶意代码作为页面内容的一部分返回给用户浏览器。浏览器会将这些内容作为合法脚本执行,从而允许攻击者在受害者浏览器上下文中执行任意JavaScript代码。攻击条件包括:需要低权限用户账户(PR:L)进行攻击,以及需要用户交互(UI:R)来触发漏洞,例如访问特定页面或点击特定链接。攻击向量为网络(AV:N),可远程利用。