CVE-2026-4086 CVSS 6.4 中危

CVE-2026-4086: WP Random Button插件存储型XSS漏洞

披露日期: 2026-03-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-4086

漏洞类型

存储型跨站脚本

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WP Random Button Plugin

漏洞概述

WordPress插件WP Random Button在1.0及之前版本中存在存储型跨站脚本漏洞。该漏洞源于插件在处理Shortcode属性时缺乏足够的输入清理和输出转义。具有投稿人及以上权限的认证攻击者可通过恶意构造的Shortcode参数注入任意Web脚本，当用户访问受感染页面时触发执行，可能导致信息泄露或会话劫持。

技术细节

该漏洞位于WP Random Button插件的`random_button_html()`函数中。插件处理`wp_random_button`短代码时，直接将用户提供的`cat`和`nocat`参数拼接到HTML的data属性中，且未使用`esc_attr()`进行转义；同时将`text`参数直接输出到HTML内容中，未使用`esc_html()`进行转义。这种不安全的处理方式导致攻击者可以注入JavaScript代码。由于WordPress允许投稿人级别用户发布包含短代码的内容，攻击者可利用此权限在页面中植入持久化恶意脚本。一旦管理员或其他用户浏览该页面，恶意脚本将在其浏览器上下文中执行。

攻击链分析

STEP 1

1. 获取权限

攻击者获取WordPress站点具有投稿人及以上级别的账户权限。

STEP 2

2. 构造Payload

攻击者构造包含恶意JavaScript代码的Shortcode，利用未过滤的'text'或'cat'参数。

STEP 3

3. 注入Payload

攻击者在新建文章或页面的内容中插入恶意Shortcode并提交发布。

STEP 4

4. 触发漏洞

当管理员或其他用户访问该受影响的文章页面时，Shortcode被解析，恶意脚本在浏览器中执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Exploit Title: WP Random Button < 1.0 - Stored XSS (CVE-2026-4086)
// Description: Inject payload via the 'text' attribute of the shortcode.
// Access Level: Contributor+

// Payload 1: Using the 'text' parameter (vulnerable to HTML injection)
[wp_random_button text="<img src=x onerror=alert('XSS')>"]

// Payload 2: Using the 'cat' parameter (vulnerable to attribute injection)
// The payload is injected directly into a data-attribute without escaping.
[wp_random_button cat="x\" onmouseover=alert('XSS') "]

影响范围

WP Random Button <= 1.0

防御指南

临时缓解措施

建议立即将WP Random Button插件更新至修复了该漏洞的最新版本。在更新之前，可以暂时禁用该插件以防止被利用。同时，应审查网站内容，移除任何可疑的Shortcode代码。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表