CVE-2026-4083 CVSS 6.4 中危

CVE-2026-4083: WordPress插件Scoreboard存储型XSS漏洞

披露日期: 2026-03-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-4083

漏洞类型

存储型跨站脚本

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Scoreboard for HTML5 Games Lite (WordPress Plugin)

漏洞概述

WordPress插件Scoreboard for HTML5 Games Lite在1.2及之前版本中存在存储型跨站脚本（XSS）漏洞。该漏洞是由于'scoreboard' shortcode处理函数未能有效过滤HTML属性，绕过了黑名单机制。拥有Contributor及以上权限的认证攻击者可利用此漏洞在页面中注入恶意JavaScript代码，当其他用户访问受影响页面时触发执行，从而窃取敏感信息或进行恶意操作。

技术细节

该漏洞位于插件的`sfhg_shortcode()`函数处理逻辑中。虽然开发者使用了`esc_html()`和`esc_attr()`对属性进行转义，并设置了针对`onload`、`onclick`等四个属性的黑名单，但并未覆盖所有JavaScript事件处理器（如`onfocus`、`onmouseover`、`onmouseenter`）。由于这些合法的HTML事件名称及简单的JS载荷不包含会被转义的字符，攻击者可轻易绕过防护。攻击者利用Contributor权限发布包含恶意shortcodes的文章，载荷存储在数据库的`post_content`中。由于WordPress的kses过滤机制在内容存入时生效，而Shortcode在页面渲染时才动态展开，导致生成的iframe标签中包含未过滤的恶意事件处理器，最终触发存储型XSS。

攻击链分析

STEP 1

步骤1：获取权限

攻击者注册或获取一个具有Contributor及以上权限的WordPress账户。

STEP 2

步骤2：构造Payload

攻击者编写包含恶意JavaScript事件处理器的shortcode（例如[scoreboard onmouseover="alert(1)"]），利用未被黑名单拦截的事件属性。

STEP 3

步骤3：注入Payload

攻击者将构造好的Payload写入文章或页面的内容区域，并提交发布。由于Shortcode存储在post_content中，绕过了初始的kses过滤。

STEP 4

步骤4：触发漏洞

当管理员或其他用户浏览该文章页面时，Shortcode被解析并渲染为iframe标签。一旦用户鼠标滑过或聚焦于该元素，恶意JavaScript代码即会在浏览器中执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC: Stored XSS via scoreboard shortcode -->
<!-- Attacker adds this in a post/page content -->
[scoreboard onmouseover="alert('XSS')"]

<!-- Alternatively using onfocus -->
[scoreboard onfocus="alert(document.cookie)"]

影响范围

Scoreboard for HTML5 Games Lite <= 1.2

防御指南

临时缓解措施

建议立即将插件升级到修复版本。若暂时无法升级，应禁用该插件，并审查现有文章内容中是否包含恶意的scoreboard shortcode。同时，严格限制内容发布者的权限，仅允许可信用户发布内容。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表