CVE-2026-39712tagDiv Composer插件在处理用户输入时存在过滤缺失,导致跨站脚本(XSS)及代码注入漏洞。由于无需认证即可利用,攻击者可构造恶意请求注入脚本,在受害者浏览器中执行,进而窃取凭证或结合WordPress机制执行任意短代码。
该漏洞的根本原因是tagDiv Composer未能正确中和Web页面中的脚本相关HTML标签(CWE-79)。在受影响版本(<= 5.4.3)中,插件对特定参数或数据的输入验证存在缺陷。攻击者可以利用这一缺陷,通过发送特制的HTTP请求注入恶意的HTML/JavaScript代码或WordPress短代码。由于CVSS向量显示攻击复杂度低(AC:L)、无需用户权限(PR:N),这通常意味着存在一个无需登录的接口或者存在前台的注入点。当未经过滤的输入被服务器端处理并直接渲染在响应页面中时,恶意脚本便会在客户端上下文中执行。此外,参考Patchstack的信息,该漏洞可能导致任意短代码执行,这意味着攻击者可能利用WordPress的短代码机制进一步进行服务器端敏感操作。