CVE-2026-4388 CVSS 7.2 高危

CVE-2026-4388: Form Maker插件存储型XSS漏洞

披露日期: 2026-04-14

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-4388

漏洞类型

存储型跨站脚本 (Stored XSS)

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

WordPress Form Maker by 10Web Plugin

漏洞概述

WordPress Form Maker by 10Web插件在所有版本（包括1.15.40）中存在存储型跨站脚本漏洞。由于输入清理不充分且输出时缺少转义，未经身份验证的攻击者可通过表单提交注入恶意脚本。当管理员查看提交数据时，脚本将在其浏览器中执行，导致低级别的机密性和完整性影响。

技术细节

该漏洞核心在于Form Maker插件对用户输入处理不当。具体而言，插件在处理表单提交中的Matrix字段（文本框）时，依赖`sanitize_text_field`函数进行过滤。虽然该函数能移除HTML标签以防止直接的标签注入，但它保留了引号字符。这使得攻击者能够构造特殊的输入payload，利用HTML属性注入技术，例如在输入框中插入`" onmouseover="alert(1)`。当管理员在后台访问受影响的表单提交记录时，插件直接将未经过滤的恶意数据渲染在页面中，缺乏必要的`htmlspecialchars`等输出转义机制。此时，攻击者注入的JavaScript事件处理器被触发，从而在管理员浏览器上下文中执行任意代码。

攻击链分析

STEP 1

Reconnaissance

攻击者识别目标网站是否安装了存在漏洞的Form Maker插件版本（<= 1.15.40）。

STEP 2

Payload Injection

攻击者无需登录，直接在前端表单的Matrix字段（文本框）中注入恶意载荷（如利用引号闭合属性并添加onmouseover事件）。

STEP 3

Storage

插件将恶意数据存储在数据库中，虽然标签被`sanitize_text_field`剥离，但引号和事件属性被保留。

STEP 4

Trigger

管理员登录WordPress后台，进入“Submissions”页面查看受影响的表单提交记录。

STEP 5

Execution

后台页面渲染未转义的数据，攻击者注入的JavaScript代码在管理员浏览器中执行，可能导致会话劫持。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-4388
 * Stored XSS in Form Maker by 10Word (Matrix Field)
 */

// Description:
// The plugin uses sanitize_text_field() which strips HTML tags but preserves quotes.
// We can inject an event handler into the input attribute.

// Payload to be submitted in the Matrix field (Text Box):
// " onmouseover="alert('CVE-2026-4388')" "

// HTML Rendering in Admin View (Vulnerable):
// <input type="text" value="" onmouseover="alert('CVE-2026-4388')" " />

// Exploit Steps:
// 1. Attacker sends the payload via the public form submission.
// 2. Admin logs in and views the submission.
// 3. XSS triggers upon mouse interaction.

影响范围

Form Maker by 10Web <= 1.15.40

防御指南

临时缓解措施

在未升级插件前，建议管理员暂时禁用Form Maker插件，或限制查看提交记录的权限，避免直接点击或悬停未知来源的表单数据。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表