CVE-2026-4125 CVSS 6.4 中危

CVE-2026-4125: WordPress WPMK Block插件存储型XSS漏洞

披露日期: 2026-04-22

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-4125

漏洞类型

存储型XSS

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WPMK Block Plugin for WordPress

漏洞概述

WordPress的WPMK Block插件在1.0.1及以下版本中存在存储型跨站脚本（XSS）漏洞。该漏洞源于插件对用户提供的shortcode属性缺乏足够的输入清理和输出转义。具体而言，`wpmk_block_shortcode()`函数中的'class'属性被直接拼接到HTML div元素的class属性中，未经任何转义处理。这允许拥有Contributor及以上权限的认证攻击者在页面中注入任意Web脚本，当用户访问受感染页面时触发执行。

技术细节

该漏洞的核心问题位于插件的`wpmk_block_shortcode()`函数处理逻辑中。当插件解析shortcode时，会从用户可控的属性数组中提取'class'参数。代码未对该参数进行安全过滤，直接将其字符串拼接到返回的HTML div标签的class属性里。由于WordPress默认并不会自动转义shortcode输出的内容，攻击者可以利用这一缺陷，构造包含恶意JavaScript代码的class值。攻击者仅需具备Contributor级别的权限，即可在发布文章或页面时插入恶意的shortcode。该恶意脚本被存储在数据库中，一旦管理员或其他用户浏览该页面，脚本便会在其浏览器上下文中执行，从而可能导致Cookie窃取、会话劫持或恶意操作。

攻击链分析

STEP 1

攻击者注册或获取一个拥有Contributor（投稿者）及以上权限的WordPress账户。

STEP 2

攻击者编辑或新建一篇文章，在内容中插入包含恶意payload的shortcode，例如：[wpmk_block class="x" onmouseover="alert(1)"]。

STEP 3

攻击者提交文章供审核（或直接发布，视权限而定），恶意代码被存储在数据库中。

STEP 4

管理员或其他用户在前端访问该文章页面。

STEP 5

页面渲染时，恶意JavaScript代码在受害者的浏览器中执行，完成攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

[wpmk_block class="dummy" onmouseover="alert('CVE-2026-4125')"]

<!-- Explanation -->
<!-- The shortcode above injects an onmouseover event handler into the div element. -->
<!-- When an admin views the post, hovering over the element triggers the alert. -->

影响范围

WPMK Block <= 1.0.1

防御指南

临时缓解措施

建议立即将WPMK Block插件更新至修复了该漏洞的版本。如果暂时无法升级，应限制Contributor级别用户的发布权限，或者暂时禁用该插件以防止攻击。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表