CVE-2026-4059 CVSS 6.4 中危

CVE-2026-4059 ShopLentor插件存储型XSS漏洞

披露日期: 2026-04-14

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-4059

漏洞类型

存储型跨站脚本

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress ShopLentor Plugin

漏洞概述

WordPress ShopLentor插件在3.3.5及之前版本中存在存储型XSS漏洞。该漏洞源于`woolentor_quickview_button`短代码的`button_text`属性缺乏输入清理和输出转义。拥有贡献者及以上权限的认证攻击者可利用此漏洞在页面中注入任意Web脚本，诱导访问者浏览时触发执行，从而窃取敏感信息。

技术细节

该漏洞位于ShopLentor插件的WooCommerce快速查看模块中。攻击者利用具有编辑权限（如Contributor）的账户，在文章编辑器中插入构造恶意的`[woolentor_quickview_button]`短代码。核心问题在于`includes/modules/quickview/includes/classes/Frontend/Shortcode.php`文件未对`button_text`参数进行有效的输入清洗，且`quickview-button.php`模板在渲染时直接输出该值，导致XSS载荷被持久化存储在数据库中。当管理员或普通用户浏览包含该短代码的页面时，恶意脚本将在其浏览器上下文中自动执行。攻击者可利用此漏洞窃取Cookie、会话令牌或重定向用户至恶意站点，进而接管账户权限。此漏洞利用门槛低，但能针对高权限用户实施攻击，危害较大。

攻击链分析

STEP 1

侦察与获取权限

攻击者确认目标站点使用了ShopLentor插件（版本<=3.3.5），并获取一个具有Contributor（贡献者）或更高权限的账户。

STEP 2

注入恶意载荷

攻击者登录后台，在新建或编辑文章/页面时，插入包含恶意JavaScript代码的`woolentor_quickview_button`短代码，利用`button_text`参数绕过过滤。

STEP 3

持久化存储

文章被保存或发布后，恶意的短代码参数被存储在WordPress数据库中。

STEP 4

触发与执行

当管理员或其他用户访问包含该短代码的页面时，服务器解析短代码并将未转义的`button_text`内容输出到HTML中，导致恶意脚本在受害者浏览器中执行。

STEP 5

会话劫持

执行的脚本窃取受害者的Session Cookie或执行其他操作，攻击者利用这些数据接管用户账户。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2026-4059 Stored XSS -->
<!-- Usage: Add this shortcode to a WordPress page content with Contributor role or higher -->
[woolentor_quickview_button button_text='Click Me"><script>alert(document.cookie);</script><"']

影响范围

ShopLentor <= 3.3.5

防御指南

临时缓解措施

如果无法立即升级插件，建议暂时禁用ShopLentor插件的快速查看功能或完全禁用该插件。同时，应严格审查站点的用户注册策略，减少潜在的攻击面，并对已发布的内容进行安全审计，查找是否存在被注入的恶意短代码。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表