CVE-2026-4379 CVSS 6.4 中危

CVE-2026-4379 WordPress LightPress插件存储型XSS漏洞

披露日期: 2026-04-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-4379

漏洞类型

Stored Cross-Site Scripting (XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

LightPress Lightbox (WordPress Plugin)

漏洞概述

WordPress的LightPress Lightbox插件在2.3.4及之前的版本中存在存储型跨站脚本（XSS）漏洞。该漏洞源于插件在处理`[gallery]`短代码的`group`属性时，未对输出内容进行适当的转义处理。具备贡献者及以上权限的攻击者可以利用此漏洞在页面中注入恶意Web脚本，当用户访问被注入的页面时，脚本将自动执行，可能窃取用户凭据或进行会话劫持。

技术细节

该漏洞的根本原因是插件在渲染图库短代码时，直接将用户输入的`group`属性值拼接到HTML输出中，未进行安全过滤。攻击者可以利用属性注入技术，在`group`参数中插入双引号闭合原有属性，进而添加恶意的JavaScript事件处理器（如onmouseover、onerror）。由于这是存储型XSS，恶意载荷会被保存在数据库中。攻击者仅需具备Contributor级别的权限即可发布包含该短代码的文章。当管理员或其他用户访问该文章页面时，浏览器会解析并执行注入的脚本，从而在受害者上下文中执行任意代码。

攻击链分析

STEP 1

1. 获取权限

攻击者注册或获取一个具有Contributor（投稿者）及以上权限的WordPress账户。

STEP 2

2. 注入Payload

攻击者在编辑文章时，插入包含恶意JavaScript代码的`[gallery]`短代码，利用`group`属性进行XSS注入。

STEP 3

3. 持久化存储

文章被提交并发布（或审核通过），恶意短代码内容被存储在WordPress数据库中。

STEP 4

4. 触发漏洞

受害者（如管理员）访问包含该短代码的页面，浏览器渲染HTML时执行恶意脚本。

STEP 5

5. 执行攻击

恶意脚本在受害者浏览器中运行，可能导致Cookie窃取、会话劫持或恶意重定向。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

[gallery group="" onerror="alert(document.cookie)" src="x" /]

影响范围

LightPress Lightbox <= 2.3.4

防御指南

临时缓解措施

在未升级插件之前，建议暂时禁用LightPress Lightbox插件以阻断攻击面。或者，通过修改网站配置，仅允许管理员级别的用户发布包含短代码的内容，并对现有内容进行审计，清理可能存在的恶意短代码。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表