CVE-2026-39693 CVSS 5.9 中危

CVE-2026-39693 FSM Custom Featured Image Caption DOM型XSS漏洞

披露日期: 2026-04-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-39693

漏洞类型

DOM型跨站脚本 (DOM-Based XSS)

CVSS评分

5.9 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

FSM Custom Featured Image Caption (WordPress Plugin)

漏洞概述

WordPress插件FSM Custom Featured Image Caption存在DOM型跨站脚本漏洞。由于插件在网页生成过程中未能正确中和用户输入，导致攻击者可注入恶意脚本。受影响版本包括1.25.1及以下版本。该漏洞需要高权限和用户交互才能触发，成功利用可能导致信息泄露或会话劫持。

技术细节

该漏洞发生在插件处理特色图片标题的功能模块中。由于缺乏对输入数据的严格过滤，攻击者可以构造包含恶意JavaScript代码的Payload注入到图片标题字段。当具有高权限的用户（如管理员）编辑或查看包含该标题的页面时，Payload会通过DOM操作被解析并执行。攻击者利用此漏洞可在受害者浏览器上下文中执行任意代码，窃取Cookie或进行敏感操作。

攻击链分析

STEP 1

1. 信息收集

攻击者确认目标站点使用了存在漏洞的FSM Custom Featured Image Caption插件。

STEP 2

2. 权限获取

攻击者获取具有编辑内容权限的高级别账户（如管理员账户）。

STEP 3

3. 载荷注入

攻击者在编辑文章或页面时，向“特色图片标题”字段中注入恶意的JavaScript代码。

STEP 4

4. 诱导触发

诱导受害者访问包含恶意标题的页面，并触发页面交互。

STEP 5

5. 代码执行

受害者的浏览器解析并执行恶意脚本，导致XSS攻击生效。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
Proof of Concept for CVE-2026-39693
Vulnerable Parameter: Featured Image Caption
-->

<!-- Step 1: Inject the following payload into the caption field -->
<img src=x onerror=alert('CVE-2026-39693')>

<!-- Step 2: Save the post/page and view it in the frontend -->
<!-- Step 3: The JavaScript alert will trigger, confirming the XSS -->

<script>
// Alternative payload if script tags are filtered but event handlers are not
console.log('XSS executed via DOM');
</script>

影响范围

FSM Custom Featured Image Caption <= 1.25.1

防御指南

临时缓解措施

建议网站管理员立即检查插件版本，若版本低于或等于1.25.1，应尽快进行更新。在更新前，可暂时禁用该插件的功能以规避风险。同时，加强对后台用户的管理，防止账户被攻破后利用此漏洞进行横向移动。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表