CVE-2026-4076 CVSS 6.4 中危

CVE-2026-4076 WordPress插件存储型XSS漏洞

披露日期: 2026-04-22

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-4076

漏洞类型

存储型跨站脚本

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Slider Bootstrap Carousel

漏洞概述

WordPress Slider Bootstrap Carousel插件在1.0.7及之前版本中存在严重的存储型XSS漏洞。该漏洞源于插件对短代码属性的输入清理和输出转义不足，导致具有贡献者及以上权限的认证攻击者能够注入恶意脚本。当普通用户访问包含恶意代码的页面时，脚本将在其浏览器中执行，可能导致会话劫持或恶意重定向。

技术细节

该漏洞的核心在于插件使用`extract()`函数直接解析`shortcode_atts()`返回的数组，且未对关键变量进行安全转义。具体代码中，`$category`变量被直接拼接到HTML的id、data-target及href属性中，而`$template`变量直接流入class属性，均未调用`esc_attr()`进行过滤。这允许攻击者通过构造包含引号和事件处理器的Payload（如`onmouseover`），闭合原有属性并注入恶意JavaScript。由于漏洞属于存储型XSS，恶意代码会保存在数据库中。攻击者利用贡献者权限发布包含恶意短代码的文章，一旦管理员审核或用户访问该页面，攻击载荷即会被解析并执行，进而窃取敏感凭证或进行后续钓鱼攻击。

攻击链分析

STEP 1

步骤1

攻击者获取拥有Contributor或更高权限的WordPress账户。

STEP 2

步骤2

攻击者编辑或新建文章，在内容中插入包含恶意Payload的短代码（利用category或template属性）。

STEP 3

步骤3

文章被提交或发布，恶意短代码被存储在数据库中。

STEP 4

步骤4

管理员或其他用户访问该页面，插件解析短代码并将未转义的参数输出到HTML属性中。

STEP 5

步骤5

受害者的浏览器执行注入的恶意脚本，攻击者窃取Cookie或执行其他操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

[slider_bootstrap_carousel category="" onmouseover=alert(1) "]

<!-- 
PoC Explanation:
1. Log in as a Contributor or higher user.
2. Create a new Post/Page.
3. Insert the above shortcode into the content.
4. Publish/Submit the post.
5. When an admin or user views the post, the injected onmouseover event triggers the XSS.
-->

影响范围

Slider Bootstrap Carousel <= 1.0.7

防御指南

临时缓解措施

建议立即检查并更新Slider Bootstrap Carousel插件至修复版本。若无法立即更新，请暂时卸载该插件，或严格限制非管理员用户发布包含短代码的内容，直到应用补丁。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表