CVE-2026-4811 CVSS 4.9 中危

CVE-2026-4811: WPB插件存储型XSS漏洞

披露日期: 2026-05-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-4811

漏洞类型

存储型跨站脚本攻击 (Stored XSS)

CVSS评分

4.9 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

WPB Floating Menu & Categories for WordPress

漏洞概述

WPB Floating Menu & Categories插件在1.0.8及之前版本中存在存储型XSS漏洞。该漏洞由“Icon CSS Class”字段缺乏输入清理和输出转义导致。拥有编辑者及以上权限的攻击者可注入恶意脚本，当用户访问受影响页面时触发执行，存在数据窃取风险。

技术细节

漏洞位于WordPress插件WPB Floating Menu & Categories的分类管理功能中。在处理“Icon CSS Class”参数时，应用程序未对用户提交的数据进行有效的安全过滤，且在输出到前端页面时未进行HTML实体编码。攻击者需先获取网站编辑者或管理员权限，随后在后台分类设置的“Icon CSS Class”字段中植入JavaScriptPayload（如`"><script>alert(1)</script>`）。该恶意代码会被存储在数据库中。当前端用户浏览包含该分类的页面时，服务器将未转义的数据渲染至HTML文档中，导致攻击者的脚本在受害者浏览器中执行。虽然需要高权限，但此漏洞可被用于窃取会话Cookie或进行进一步的内网渗透。

攻击链分析

STEP 1

侦察

攻击者识别目标网站使用了WPB Floating Menu & Categories插件，且版本号小于等于1.0.8。

STEP 2

获取权限

攻击者通过钓鱼、社会工程学或其他手段获取目标WordPress网站的编辑者或管理员账户凭据。

STEP 3

注入Payload

登录后台后，攻击者进入插件分类设置页面，在'Icon CSS Class'字段中输入恶意JavaScript代码并保存。

STEP 4

触发漏洞

当普通用户或管理员访问包含该分类的页面时，恶意脚本从数据库读取并在浏览器中执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC Payload for CVE-2026-4811
// Target Field: 'Icon CSS Class' in Category Settings

// The payload attempts to break out of the attribute context and inject a script tag.
// Assuming the output looks like: <div class="[USER_INPUT]">

const payload = '"><script>alert(document.cookie)</script>';

/*
Exploitation Steps:
1. Log in to WordPress as a user with 'Editor' role or higher.
2. Navigate to WPB Floating Menu > Categories.
3. Click 'Add New' or edit an existing category.
4. Insert the payload into the 'Icon CSS Class' input field.
5. Click 'Save'.
6. Visit any frontend page that renders this menu.
7. The JavaScript alert will trigger, demonstrating the Stored XSS.
*/

影响范围

WPB Floating Menu & Categories for WordPress <= 1.0.8

防御指南

临时缓解措施

建议立即将插件升级至最新版本。如果暂时无法升级，应严格限制拥有编辑者及以上权限的用户数量，并对后台用户操作进行审计。同时，部署Web应用防火墙（WAF）以拦截针对该特定字段的恶意脚本输入请求，作为临时防护措施。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表