CVE-2026-4389该漏洞影响WordPress插件“DSGVO snippet for Leaflet Map and its Extensions”。其原因是插件在处理`leafext-cookie-time`和`leafext-delete-cookie`短代码时,未能对用户提供的`unset`、`before`、`after`等属性进行充分的输入清理和输出转义。这使得拥有贡献者及以上权限的攻击者能够向页面注入任意恶意Web脚本。一旦其他用户访问被注入的页面,脚本便会自动执行,导致潜在的会话劫持或数据泄露风险。
该漏洞属于存储型跨站脚本攻击(Stored XSS),具体存在于插件的短代码解析机制中。问题代码文件位于`php/time-delete.php`。当插件处理`leafext-cookie-time`和`leafext-delete-cookie`短代码时,直接读取用户传入的参数并拼接到HTML输出中,未对`unset`、`before`、`after`等关键属性执行HTML实体转义或移除危险字符。攻击者只需具备WordPress网站的Contributor(投稿者)权限,即可在编辑文章或页面时插入包含恶意JavaScript代码的短代码。由于漏洞是存储型的,恶意载荷会保存在数据库中。当管理员或其他权限较高的用户浏览该受影响页面时,嵌入的脚本将在其浏览器上下文中执行。攻击者可借此窃取Cookie、进行会话劫持或执行管理员操作。漏洞利用无需用户交互,且攻击复杂度低。