CVE-2026-3239WordPress的Strong Testimonials插件在所有版本(包括3.2.21)中存在存储型跨站脚本(XSS)漏洞。该漏洞源于插件`testimonial_view`短代码对用户提供的属性缺乏足够的输入清理和输出转义。具有投稿人及以上权限的经过身份验证的攻击者可以利用此漏洞注入恶意脚本,当用户访问受影响的页面时,脚本将会执行,导致窃取会话令牌或进行其他恶意操作。
该漏洞的核心原因在于Strong Testimonials插件处理`testimonial_view`短代码时,未对用户输入的属性参数进行严格的输入验证和输出编码。在WordPress环境中,短代码是一种将动态内容插入帖子和页面的机制。攻击者可以在短代码的属性中插入JavaScript代码。由于插件直接将这些未过滤的数据渲染到HTML页面中,攻击者可以利用存储型XSS特性,将恶意载荷持久化存储在服务器数据库中。当管理员或其他用户浏览包含该短代码的页面时,恶意脚本将在其浏览器上下文中自动执行。由于攻击向量为网络(AV:N),且无需用户交互(UI:N),权限要求较低(PR:L),只需投稿人权限即可发起攻击,这大大增加了攻击的风险范围。攻击者可借此窃取Cookie、重定向用户或执行管理员权限下的操作。