CVE-2026-4088WordPress插件Switch CTA Box在1.1及以下版本中存在存储型跨站脚本(XSS)漏洞。该漏洞源于'wppw_cta_box'短代码对用户输入的元数据(如按钮链接、ID、文本等)缺乏有效的输入清理和输出转义。具有投稿者及以上权限的认证攻击者可利用此漏洞注入恶意脚本,导致访问者在查看被注入页面时执行任意Web脚本。
该漏洞的核心原理在于WordPress插件Switch CTA Box对短代码输出的处理不当。插件通过'wppw_cta_box'短代码从数据库读取用户指定的Post ID对应的元数据字段(包括'cta_box_button_link'、'cta_box_button_text'等),并在未经过滤的情况下直接输出到HTML页面中。由于缺乏必要的输出转义机制(如未使用esc_html()、esc_attr()等函数),攻击者可以利用这些字段注入恶意JavaScript代码。利用方式上,具有投稿者及以上权限的攻击者只需在编辑文章时修改相关的元数据值,插入XSS Payload。一旦页面被发布或预览,任何访问该页面的用户(包括管理员)都将触发Payload执行,从而导致账户被盗取或恶意操作。