CVE-2026-6174 CVSS 6.4 中危

CVE-2026-6174: WordPress CC Child Pages插件存储型XSS漏洞

披露日期: 2026-05-14

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-6174

漏洞类型

存储型跨站脚本

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

CC Child Pages Plugin (WordPress)

漏洞概述

WordPress CC Child Pages插件在2.1.1及更早版本中存在严重的存储型XSS漏洞。由于'more'参数缺乏有效的输入清理和输出转义机制，具有投稿人及以上权限的认证攻击者能够轻易注入恶意Web脚本。一旦管理员或普通用户访问被植入恶意代码的页面，脚本将自动执行，导致敏感信息泄露或账户被接管。

技术细节

该漏洞的根源在于CC Child Pages插件在处理'more'参数时缺乏有效的输入清理和输出转义机制。插件未对用户提交的数据进行严格的HTML实体编码，导致攻击者可以将恶意的JavaScript代码持久化存储在数据库中。攻击者仅需拥有投稿人级别的低权限，即可在发布内容或编辑插件相关设置时注入Payload。当普通用户或管理员访问包含该恶意参数的页面时，插件会从数据库读取并直接输出未经过滤的内容至前端，导致浏览器解析并执行脚本。这种存储型XSS攻击可能导致会话劫持、敏感信息窃取，甚至通过提升权限完全接管WordPress站点管理权限。

攻击链分析

STEP 1

1. 获取权限

攻击者注册或获取一个拥有Contributor（投稿人）及以上权限的WordPress账户。

STEP 2

2. 注入Payload

攻击者在编辑页面或文章时，利用CC Child Pages插件的功能，在'more'参数中插入恶意JavaScript代码（如<svg onload=alert(1)>）。

STEP 3

3. 持久化存储

由于插件缺乏过滤，恶意代码被保存到WordPress数据库中。

STEP 4

4. 触发漏洞

当管理员或其他用户访问包含该被修改参数的页面时，服务器端代码从数据库读取数据并渲染。

STEP 5

5. 执行攻击

受害者的浏览器解析未转义的恶意脚本并执行，攻击者可借此窃取Cookie或进行后续操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for Stored XSS in CC Child Pages 'more' parameter
Attack Vector: Injecting malicious script into the 'more' parameter.
-->

<script>
// Malicious payload to be injected
// Example: <script>alert('XSS');</script>
// Or using img tag for stealth: <img src=x onerror=alert(1)>

// This payload would be submitted via the plugin's input form or shortcode
// parameter handling for 'more'.

// Simulated Request Payload:
/*
POST /wp-admin/post.php HTTP/1.1
...&cc_child_pages_more=<img src=x onerror=alert(document.cookie)>
*/

console.log('If the alert pops up, the vulnerability is confirmed.');
</script>

影响范围

CC Child Pages <= 2.1.1

防御指南

临时缓解措施

如果无法立即升级插件，建议暂时禁用CC Child Pages插件以阻断攻击路径。同时，管理员应严格审查用户提交的内容，特别是涉及参数传递的部分，并加强对 Contributor 级别用户的权限监控，防止其提交包含 HTML/JavaScript 标签的内容。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表