CVE-2026-5340 WordPress Fancy Image Show插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2026-5340

漏洞类型

存储型跨站脚本攻击 (Stored XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Fancy Image Show插件

漏洞概述

WordPress Fancy Image Show插件在所有9.1及之前版本中存在存储型跨站脚本（XSS）漏洞。该漏洞源于插件对`fancy-img-show`短代码中用户提供的属性缺乏充分的输入清理和输出转义机制。拥有贡献者或更高级别权限的认证攻击者可利用此漏洞在页面中注入任意恶意Web脚本。当普通用户访问受感染页面时，脚本即会在其浏览器中执行，可能导致敏感信息泄露或会话劫持等风险。

技术细节

该漏洞的核心在于WordPress Fancy Image Show插件对短代码参数处理的不安全性。具体而言，当插件处理`fancy-img-show`短代码时，未能对用户通过属性传入的数据实施严格的输入验证和输出上下文编码。这允许攻击者将特殊字符（如尖括号、引号）注入到最终的HTML渲染流中。由于WordPress默认允许Contributor角色提交文章内容供审核（或直接发布），攻击者可以注册低权限账户，并在文章内容中嵌入构造好的恶意短代码。例如，在`title`或`src`等属性中注入`onerror`事件或伪协议JavaScript代码。一旦内容被保存，恶意脚本便会在服务器端持久化存储。后续任何访问该页面的用户，包括管理员，其浏览器都会解析并执行该脚本。这种攻击方式不仅绕过了传统的同源策略限制，还能窃取管理员的Session ID，进而接管网站账户权限。

攻击链分析

STEP 1

侦察阶段

攻击者确认目标网站安装了Fancy Image Show插件且版本在9.1及以下。

STEP 2

获取权限

攻击者注册一个Contributor（贡献者）级别的账户，或利用现有低权限账户。

STEP 3

注入载荷

在新建或编辑文章时，插入包含恶意JavaScript的`fancy-img-show`短代码。

STEP 4

存储持久化

保存文章（发布或提交审核），恶意代码被存入数据库。

STEP 5

触发执行

管理员或其他用户浏览该文章页面，浏览器解析短代码并执行恶意脚本。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2026-5340: Stored XSS via shortcode attribute -->
<!-- Attacker injects the following payload into a post content -->
[fancy-img-show src="x" onerror="alert('XSS')"]

<!-- Or injecting arbitrary attributes if supported -->
[fancy-img-show title=""><script>alert(document.cookie)</script><""]

<!-- The payload executes when an admin visits the page -->

影响范围

WordPress Fancy Image Show插件 <= 9.1

防御指南

临时缓解措施

建议立即将Fancy Image Show插件更新至修复了该漏洞的最新版本。如果无法立即更新，请暂时禁用该插件，并检查数据库中是否存在包含恶意短代码的文章内容，同时限制Contributor级别用户的文章发布及编辑权限，直至漏洞被修复。