CVE-2026-5169WordPress插件“Inquiry Form to Posts or Pages”在1.0及以下版本中存在存储型跨站脚本(XSS)漏洞。该漏洞源于插件在保存“Form Header”字段时未进行充分的输入清理,且在输出时缺乏必要的转义处理。具体而言,漏洞存在于插件设置页面的HTML属性输出处以及前端短代码的内容输出处。拥有管理员级别的经过身份验证的攻击者可以利用此漏洞注入恶意脚本,当用户访问插件设置页面或包含特定短代码的页面时,脚本将会被执行,从而造成安全风险。
该漏洞是由于不安全的输入处理和输出编码缺失导致的。首先,在插件后端处理逻辑中,通过`update_option()`函数保存“Form Header”字段的数据时,未对用户输入进行严格的输入验证和清理,允许恶意字符被持久化存储到数据库中。其次,在数据输出阶段存在两处缺陷:1. 在`inq_form.php`第180行,插件将存储的值直接回显到HTML属性中,未使用`esc_attr()`函数进行属性转义,导致攻击者可以闭合属性并注入事件处理器;2. 在`inquery_form_to_posts_or_pages.php`第139行,前端短代码`[inquiry_form]`渲染时,直接输出存储值而未使用`esc_html()`进行HTML实体转义,导致脚本在浏览器上下文中执行。尽管利用此漏洞需要管理员级别的权限,但它可以被用于实施针对其他管理员的会话劫持或进一步的权限提升攻击。