CVE-2026-4278 CVSS 6.4 中危

CVE-2026-4278: WordPress Simple Download Counter存储型XSS漏洞

披露日期: 2026-03-26

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-4278

漏洞类型

存储型跨站脚本 (Stored XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Simple Download Counter Plugin

漏洞概述

WordPress插件Simple Download Counter在2.3及以下版本存在存储型XSS漏洞。该漏洞源于`sdc_menu`短代码未对`text`和`cat`属性进行充分的输入清理与输出转义。拥有贡献者及以上权限的认证攻击者可利用此漏洞注入恶意脚本，当用户访问包含该短代码的页面时，脚本将在浏览器中执行。

技术细节

该漏洞位于插件`inc/functions-shortcode.php`文件中，核心问题在于`sdc_menu`短代码对用户输入的处理不当。具体分析显示，代码在第159行直接将`text`属性的值输出到HTML内容中，完全未使用`esc_html()`进行转义，允许攻击者插入任意HTML标签。此外，第135行和157行在处理`cat`属性时，直接将其值拼接到HTML元素的class属性中，且未调用`esc_attr()`进行过滤。这种缺乏输入清理和输出转义的安全缺陷，使得拥有Contributor（投稿者）及以上权限的认证攻击者能够构造包含恶意JavaScript代码的短代码参数。一旦该内容被发布，任何访问该页面的用户（特别是管理员）的浏览器都会执行该脚本，从而引发存储型XSS攻击，可能导致Cookie窃取或会话劫持。

攻击链分析

STEP 1

步骤1

攻击者获取具有Contributor（投稿者）或更高权限的WordPress账户凭证。

STEP 2

步骤2

攻击者登录后台，新建或编辑一篇文章/页面。

STEP 3

步骤3

攻击者在内容编辑器中插入包含恶意JavaScript代码的`sdc_menu`短代码（例如利用未过滤的`text`属性）。

STEP 4

步骤4

攻击者提交或发布该内容，恶意Payload被持久化存储在网站数据库中。

STEP 5

步骤5

普通用户或管理员访问该受影响的页面，服务器端解析短代码并渲染HTML。

STEP 6

步骤6

由于缺少输出转义，恶意脚本在受害者的浏览器上下文中执行，完成攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for 'text' attribute (Line 159) -->
<!-- Usage: Insert this shortcode into a post/page -->
[sdc_menu text="<img src=x onerror=alert('CVE-2026-4278')>"]

<!-- PoC for 'cat' attribute (Lines 135, 157) -->
<!-- Usage: Insert this shortcode into a post/page -->
[sdc_menu cat="dummy" onmouseover="alert('CVE-2026-4278')"]

影响范围

Simple Download Counter <= 2.3

防御指南

临时缓解措施

建议立即将插件升级到修复了此漏洞的最新版本。如果暂时无法升级，应严格限制低权限用户的内容发布权限，或者安装安全插件（如Wordfence）开启虚拟补丁功能，以检测并拦截此类恶意短代码的利用尝试。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表