CVE-2026-4089WordPress插件“Twittee Text Tweet”在1.0.8及之前版本中存在存储型跨站脚本(XSS)漏洞。该漏洞源于插件对用户提供的短代码属性缺乏足够的输入清理和输出转义。具有投稿人及以上权限的认证攻击者可利用此漏洞,通过恶意构造的短代码注入任意Web脚本。当用户访问被注入的页面时,脚本将自动执行,可能导致会话劫持或进一步攻击。
该漏洞主要存在于`ttt_twittee_tweeter()`函数处理短代码的逻辑中。函数使用PHP的`extract()`方法将用户输入的短代码属性(如`id`, `tweet`, `content`等)直接导入为局部变量。随后,代码在未进行任何安全过滤的情况下,将这些变量直接拼接进HTML输出中。具体而言,`$id`参数被直接放入HTML的`id`属性内,未使用`esc_attr()`函数进行转义,导致攻击者可以闭合引号并注入任意HTML事件处理器(如`onmouseover`)。此外,`$tweet`, `$content`, `$balloon`, `$theme`等参数被直接拼接到内联JavaScript代码中(位于源码第87, 93, 101, 117行)。由于缺乏转义,攻击者可以注入JavaScript控制字符,从而在页面加载时执行任意代码。此漏洞允许低权限用户(如投稿人)实施攻击,危害较大。