CVE-2026-5748WordPress Text Snippets插件在所有0.0.1及之前版本中存在严重的存储型跨站脚本(XSS)漏洞。由于该插件对其`ts`短代码中用户提交的属性缺乏充分的输入清理和输出转义机制,导致安全缺陷。拥有贡献者级别及以上权限的经过身份验证的攻击者,可以借此漏洞在受影响的页面中注入任意恶意Web脚本。一旦普通用户访问了这些被篡改的页面,注入的脚本便会在其浏览器中自动执行,这可能造成会话劫持、敏感信息窃取或其他进一步的攻击行为。
该漏洞的核心原理在于WordPress插件开发中对短代码(Shortcode)参数处理不当。Text Snippets插件允许用户通过`ts`短代码插入文本片段,但在处理短代码属性时,未对数据进行严格的安全过滤和HTML实体编码。攻击者可以利用这一缺陷,构造包含恶意JavaScript代码的短代码属性(例如利用事件处理器如`onerror`或直接绕过基础过滤)。由于是存储型XSS,攻击者首先需要登录WordPress后台(通常需要贡献者权限),在发布文章或页面时插入带有恶意载荷的短代码。当数据被保存到数据库后,前端页面在渲染该短代码时,会将未转义的恶意代码直接输出到HTML中。其他管理员或访客浏览该页面时,浏览器解析并执行这些脚本。CVSS向量中的S:C表明漏洞影响范围发生了变化,意味着攻击不仅能影响当前页面,还可能利用受害者的权限对同一浏览器会话下的其他组件发起攻击。