CVE-2026-3996 CVSS 6.4 中危

CVE-2026-3996 WP Games Embed插件存储型XSS漏洞

披露日期: 2026-03-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-3996

漏洞类型

存储型跨站脚本

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WP Games Embed Plugin for WordPress

漏洞概述

WordPress插件WP Games Embed在0.1beta及之前版本存在存储型XSS漏洞。由于插件未对[game]短代码属性进行有效过滤，具有Contributor权限的攻击者可注入恶意脚本。当用户访问受影响页面时，脚本将执行，可能导致会话劫持或恶意操作。

技术细节

该漏洞的核心在于插件对[game]短代码处理的逻辑缺陷。插件在渲染时，直接将用户可控的属性（如width、src、title、description等）拼接到HTML标记中，未使用WordPress的标准转义函数（如esc_attr或esc_html）进行处理。攻击者只需具备Contributor权限，即可在编辑文章时插入包含恶意JavaScript事件的短代码（例如：`[game title='x' onmouseover='alert(1)']`）。由于是存储型XSS，payload会持久化保存在数据库中。一旦管理员审核页面或普通用户浏览该页面，payload即会在浏览器端触发。这种漏洞常用于窃取Cookie、提升权限或重定向用户，危害较大。

攻击链分析

STEP 1

1. 获取权限

攻击者注册或入侵一个具有Contributor（投稿者）及以上权限的WordPress账户。

STEP 2

2. 注入Payload

攻击者在文章编辑器中使用[game]短代码，并在属性（如title、width等）中插入恶意JavaScript代码，然后提交文章。

STEP 3

3. 触发漏洞

网站管理员或其他用户访问并浏览包含该短代码的页面。

STEP 4

4. 执行攻击

浏览器解析未转义的HTML，执行恶意脚本，攻击者可窃取Cookie或进行进一步操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

[game title='"><script>alert(document.cookie)</script><"']

// Alternatively, using an event handler:
// [game src='x' onmouseover='alert(1)']

影响范围

WP Games Embed <= 0.1beta

防御指南

临时缓解措施

在未升级插件前，建议暂时禁用WP Games Embed插件。若无法禁用，应严格限制具备内容发布权限的用户数量，仅允许受信任的用户发布内容，并审核所有包含短代码的文章。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表