CVE-2026-4303 CVSS 6.4 中危

CVE-2026-4303 WP Visitor Statistics插件存储型XSS漏洞

披露日期: 2026-04-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-4303

漏洞类型

存储型跨站脚本攻击 (Stored XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WP Visitor Statistics (Real Time Traffic)

漏洞概述

WordPress 插件 WP Visitor Statistics (Real Time Traffic) 在 8.4 及以下版本中存在存储型跨站脚本 (XSS) 漏洞。该漏洞源于插件 'wsm_showDayStatsGraph' 短代码对用户提供的属性缺乏足够的输入清理和输出转义。拥有贡献者级别及以上权限的认证攻击者可以利用此漏洞在页面中注入恶意 Web 脚本。当其他用户访问被注入的页面时，恶意脚本将在其浏览器中执行，可能导致会话劫持或数据窃取。

技术细节

该漏洞位于 WP Visitor Statistics 插件的 `wsm_showDayStatsGraph` 短代码处理逻辑中。由于未对用户传入的属性参数进行严格的输入验证和清洗，也未在输出时进行适当的 HTML 转义，攻击者可以构造包含恶意 JavaScript 代码的短代码参数。攻击者利用具有“贡献者”或更高权限的账户登录 WordPress 后台，在文章或页面中插入带有恶意载荷的短代码。当管理员或普通用户访问该页面时，服务器端会解析短代码并直接输出未转义的内容，导致恶意脚本在受害者的浏览器上下文中执行。这是一种典型的存储型 XSS，利用了 WordPress 的角色权限体系和插件的过滤缺失。

攻击链分析

STEP 1

获取权限

攻击者获取拥有贡献者或更高权限的 WordPress 账户凭证。

STEP 2

注入恶意载荷

攻击者登录后台，编辑文章或页面，在内容中插入带有恶意 JavaScript 属性的 'wsm_showDayStatsGraph' 短代码。

STEP 3

存储载荷

将包含恶意短代码的内容保存到 WordPress 数据库中。

STEP 4

触发漏洞

管理员或其他用户访问受感染的页面，插件解析短代码并渲染未转义的恶意属性。

STEP 5

执行代码

受害者的浏览器解析渲染后的 HTML，执行恶意 JavaScript 脚本，导致攻击者获取敏感信息或执行进一步操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC: Stored XSS via wsm_showDayStatsGraph shortcode -->
<!-- Step 1: Login as a user with Contributor role or higher -->
<!-- Step 2: Create a new post and insert the following shortcode -->
[wsm_showDayStatsGraph date="2026-01-01" onmouseover="alert(document.cookie)"]
<!-- Step 3: Publish or submit for review. When an admin views the post, the alert triggers. -->

影响范围

WP Visitor Statistics (Real Time Traffic) <= 8.4

防御指南

临时缓解措施

如果无法立即升级，建议暂时禁用 WP Visitor Statistics 插件。此外，可以实施严格的内容安全策略 (CSP) 策略来限制脚本的执行来源，从而降低 XSS 攻击的风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表