CVE-2026-4665WP Carousel Free插件在2.7.10及之前版本存在存储型XSS漏洞。该漏洞源于插件未对DOM ID进行清理,攻击者可利用畸形ID导致JS初始化失败并触发回退机制,将`data-caption`属性内容直接渲染为HTML。具备贡献者权限的攻击者可借此在页面中注入恶意脚本,诱导用户点击图片后执行任意代码。
该漏洞的核心机制在于`fancybox-config.js`脚本直接从DOM读取轮播容器的`id`属性来构建jQuery选择器,且未进行任何净化。当权限为贡献者或以上的攻击者创建包含非法字符(如方括号)的ID时,脚本会抛出JavaScript错误,导致自定义fancybox配置初始化失败。此时,系统回退到fancybox库(v3.5.7)的默认标题处理模式,直接将`data-caption`属性值解析为原始HTML。由于WordPress的`wp_kses_post()`函数允许保留`data-*`属性,攻击者可轻易绕过过滤,在`data-caption`中封装恶意Payload。受害者只需点击页面中的轮播图片,即可触发XSS攻击,导致Cookie窃取或会话劫持。此漏洞巧妙利用了前端错误处理逻辑的缺陷。