CVE-2026-4146WordPress的Loco Translate插件在2.8.2及之前版本中存在反射型跨站脚本(XSS)漏洞。该漏洞源于‘update_href’参数缺乏足够的输入清理和输出转义。未经身份验证的攻击者可利用此漏洞,诱导用户点击恶意链接,从而在页面中注入任意Web脚本并执行,可能导致用户数据泄露或会话劫持。
该漏洞属于反射型跨站脚本攻击(Reflected XSS)。其根本原因是WordPress插件Loco Translate在处理‘update_href’参数时,未能实施严格的输入校验和输出转义机制。具体而言,攻击者可以将恶意JavaScript代码注入到该参数中,并生成特制的URL。由于漏洞无需认证(PR:N)且攻击复杂度低(AC:L),攻击者无需登录WordPress后台即可利用此漏洞。利用过程依赖用户交互(UI:R),即攻击者需通过钓鱼邮件或社会工程学手段诱导受害者点击恶意链接。一旦受害者点击,服务器将在响应页面中反射该未经过滤的输入,导致受害者的浏览器执行恶意脚本。这可能导致窃取管理员凭证、会话劫持或通过管理员权限进一步渗透服务器。