CVE-2026-4785 CVSS 6.4 中危

CVE-2026-4785: WordPress LatePoint插件存储型XSS漏洞

披露日期: 2026-04-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-4785

漏洞类型

存储型跨站脚本攻击 (Stored XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress LatePoint 插件

漏洞概述

WordPress插件LatePoint在5.3.0及以下版本中存在存储型跨站脚本（XSS）漏洞。该漏洞源于对`button_caption`参数的输出转义不足，允许具有投稿者及以上权限的认证攻击者利用`[latepoint_resources]`短代码注入任意Web脚本。一旦用户访问被注入的页面，恶意脚本便会执行。

技术细节

该漏洞位于WordPress插件LatePoint的`lib/helpers/shortcodes_helper.php`文件中。当插件处理`[latepoint_resources]`短代码时，如果`items`参数被设置为“bundles”，程序会直接输出`button_caption`参数的值，而未对其进行严格的HTML实体转义。攻击者需具备至少投稿者权限，通过在文章或页面中插入包含恶意JavaScript代码的短代码进行攻击。由于是存储型漏洞，恶意脚本会持久化存储在服务器数据库中。当管理员或其他用户浏览包含该短代码的页面时，嵌入的脚本将在其浏览器环境中自动运行，可能导致Cookie窃取、会话劫持或进一步的后台渗透。

攻击链分析

STEP 1

步骤1：获取权限

攻击者注册或获取一个具有投稿者（Contributor）及以上权限的WordPress账户。

STEP 2

步骤2：注入Payload

攻击者登录后台，编辑或新建文章/页面，在内容中插入包含恶意脚本的`[latepoint_resources]`短代码，利用`button_caption`参数绕过过滤。

STEP 3

步骤3：存储Payload

攻击者提交文章供审核或直接发布（视权限而定），恶意短代码被存储在WordPress数据库中。

STEP 4

步骤4：触发漏洞

管理员或其他用户访问包含该短代码的页面，服务器渲染页面时未转义`button_caption`，导致恶意脚本在受害者浏览器中执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2026-4785 Stored XSS -->
<!-- 1. Log in as a Contributor user on a WordPress site with LatePoint <= 5.3.0 installed -->
<!-- 2. Create a new Post or Page -->
<!-- 3. Insert the following shortcode into the content -->

[latepoint_resources items="bundles" button_caption="<script>alert(document.cookie);</script>"]

<!-- 4. Publish/Submit the post -->
<!-- 5. Visit the post page as a different user (e.g., Admin or Subscriber) -->
<!-- 6. The JavaScript alert will trigger, demonstrating the XSS execution -->

影响范围

LatePoint <= 5.3.0

防御指南

临时缓解措施

如果无法立即升级，建议暂时限制非管理员用户的文章发布权限，并检查数据库中是否已存在包含异常`[latepoint_resources]`短代码的内容。同时，可以在服务器端对输出进行全局转义过滤，以防止脚本执行。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表