CVE-2026-4895WordPress插件GreenShift在12.8.9及之前版本中存在严重的存储型XSS漏洞。该漏洞源于`gspb_greenShift_block_script_assets()`函数未对输入进行充分清理和输出转义。具有投稿人及以上权限的攻击者可利用该漏洞在页面中注入任意Web脚本,一旦用户访问受影响页面,恶意脚本即会执行,造成数据窃取或会话劫持。
漏洞的核心在于插件`gspb_greenShift_block_script_assets()`函数中存在缺陷的字符串处理逻辑。当插件处理启用了`disablelazy`属性的`greenshift-blocks/image`块时,它会尝试通过`str_replace()`函数在原始HTML字符串中的`src=`之前插入`fetchpriority="high"`字符串。由于该操作未对HTML进行安全解析并直接操作字符串,攻击者(具有Contributor权限)可以在其他HTML属性值(例如`class`属性)中精心构造并注入`src=`子串。当函数执行替换操作时,`fetchpriority="high"`中的双引号会与原本属性中的引号发生交互,导致攻击者成功逃逸出当前的属性上下文。这使得攻击者能够插入恶意的HTML属性(如`onfocus`)以及JavaScript代码载荷。因为该漏洞属于存储型XSS,恶意脚本会被存储在服务器端,任何访问该页面的用户都会触发脚本执行,从而面临账户劫持或恶意操作的风险。