CVE-2026-3694 CVSS 6.4 中危

CVE-2026-3694 WordPress Bold Page Builder 存储型XSS漏洞

披露日期: 2026-05-14

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-3694

漏洞类型

Stored Cross-Site Scripting (XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Bold Page Builder (WordPress Plugin)

漏洞概述

WordPress Bold Page Builder插件在5.6.8及之前版本中存在存储型跨站脚本（XSS）漏洞。该漏洞主要由于插件对用户提交的输入属性缺乏足够的清理和输出转义，具体影响`bt_bb_button`短代码的'text'属性。拥有贡献者及以上权限的认证攻击者可以利用此漏洞，在页面中注入任意Web脚本。当普通用户访问被注入的页面时，恶意脚本将在浏览器中执行，从而导致会话被劫持或敏感信息泄露。

技术细节

该漏洞位于WordPress的Bold Page Builder插件核心功能中，具体涉及对`bt_bb_button`短代码参数的处理逻辑。由于开发者在编写代码时，未能对传入该短代码的'text'属性数据进行严格的输入验证和输出编码，导致了安全漏洞的产生。WordPress允许具有贡献者及以上权限的用户发布内容，攻击者可以构造包含恶意JavaScript代码的短代码，并将其插入到文章或页面内容中。当管理员或其他用户浏览受影响的页面时，服务器会直接渲染包含恶意代码的'text'属性内容，而不会对其进行HTML转义。这使得攻击者注入的脚本在受害者的浏览器上下文中运行，从而实现存储型XSS攻击。攻击者可借此窃取管理员的Session ID，进而完全控制网站后台。

攻击链分析

STEP 1

侦查

攻击者确认目标网站使用了存在漏洞的Bold Page Builder插件（版本 <= 5.6.8）。

STEP 2

获取访问权限

攻击者注册或通过其他方式获取一个具有贡献者（Contributor）级别及以上权限的账户。

STEP 3

漏洞利用

攻击者登录后台，编辑页面或文章，插入包含恶意JavaScript代码的`bt_bb_button`短代码，利用'text'属性的过滤缺失存储Payload。

STEP 4

触发攻击

攻击者诱导管理员或其他用户访问包含恶意短代码的页面。

STEP 5

执行载荷

当用户访问页面时，服务器输出未转义的恶意脚本，脚本在用户浏览器中执行，攻击者可窃取Cookie或执行恶意操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2026-3694: Stored XSS via bt_bb_button text attribute -->
<!-- Step 1: Log in as a user with Contributor-level access or higher. -->
<!-- Step 2: Create a new Page or Post and insert the following shortcode into the content. -->

[bt_bb_button text='"><script>alert(1)</script>' url="#"]

<!-- Step 3: Publish the page. -->
<!-- Step 4: Access the published page as an Administrator or regular user. -->
<!-- Result: The JavaScript alert('XSS') will execute in the browser context. -->

影响范围

Bold Page Builder <= 5.6.8

防御指南

临时缓解措施

如果无法立即升级插件，建议暂时禁用Bold Page Builder插件以阻断攻击路径。同时，应审查网站中所有由贡献者级别用户发布的页面，查找并清除可能存在的恶意短代码。加强输入验证机制，确保所有用户输入在输出到HTML页面前都经过严格的HTML实体编码。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表