CVE-2026-4074WordPress Quran Live Multilanguage插件(版本<=1.0.3)存在存储型跨站脚本漏洞。该漏洞源于对用户输入的短代码属性缺乏充分过滤,导致攻击者可将恶意脚本注入页面。具有贡献者及以上权限的攻击者可利用此漏洞,在受害者访问受感染页面时执行任意Web脚本,窃取数据或进行恶意操作。
该漏洞属于存储型跨站脚本(Stored XSS)。其根本原因是WordPress插件Quran Live Multilanguage在处理短代码(Shortcode)时,未对用户输入进行有效的过滤和转义。具体流程如下:攻击者提交包含恶意数据的短代码属性(如`cheikh`或`lang`),插件在`quran-live.php`文件中的`quran_live_render()`函数接收这些参数。代码使用了`shortcode_atts()`设置默认值,并利用`extract()`将数组变量导入当前符号表。随后,这些未经清洗的数据被传递给`Render_Quran_Live::render_verse_quran_live()`方法。在`Class_QuranLive.php`的第191、216、217、245及246行,代码直接使用PHP短标签(`<?=$cheikh;?>`)将变量输出到HTML页面的`<script>`标签内。由于这些变量是直接拼接在JavaScript字符串或代码中,攻击者可以注入引号闭合原有字符串,进而执行任意JavaScript代码。一旦管理员或其他用户访问包含该短代码的页面,恶意脚本即会在其浏览器上下文中运行。