CVE-2026-6237 WordPress Quick Table插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2026-6237

漏洞类型

存储型XSS

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Quick Table Plugin

漏洞概述

WordPress Quick Table插件在1.0.0及之前版本中存在严重的存储型跨站脚本（XSS）漏洞。该漏洞是由于插件对‘qtbl’短代码中的‘style’属性缺乏严格的输入清理和输出转义所致。拥有投稿者及以上权限的攻击者可利用此漏洞注入恶意脚本。一旦管理员或其他用户访问被植入恶意代码的页面，脚本便会自动执行，可能导致账户劫持或恶意操作。

技术细节

漏洞的核心在于WordPress Quick Table插件处理短代码时的安全机制缺失。具体而言，当插件解析`qtbl`短代码时，直接将用户输入的`style`属性值拼接到HTML标签中，未进行有效的过滤和转义。攻击者可以构造特殊的字符串，利用引号闭合原本的样式属性，进而注入恶意的JavaScript事件处理器（如`onmouseover`、`onerror`或`onclick`）。由于这是存储型XSS（Stored XSS），恶意载荷会被持久化保存到数据库中。当具备高权限的用户（如管理员）浏览受影响的页面时，浏览器会解析该HTML代码并触发嵌入的JS脚本。攻击者利用此机制可以窃取管理员的Session ID、Cookie等敏感信息，甚至结合浏览器漏洞进一步攻击，从而完全接管网站权限。

攻击链分析

STEP 1

侦察

攻击者确认目标站点安装了WordPress Quick Table插件，且版本在1.0.0及以下。

STEP 2

获取权限

攻击者注册或获取一个至少拥有Contributor（投稿者）级别的账户权限。

STEP 3

注入Payload

攻击者在文章或页面编辑器中，插入包含恶意脚本的‘qtbl’短代码，利用‘style’属性触发XSS。

STEP 4

触发漏洞

当管理员或其他用户访问该受影响的页面时，恶意脚本在浏览器中执行，窃取敏感数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2026-6237 Stored XSS -->
<!-- Insert the following shortcode into a WordPress post/page with Contributor+ access -->

<!-- Vector: Injecting event handler by escaping the style attribute -->
[qtbl style="color:red;" onmouseover="alert('XSS_CVE-2026-6237')"]Injected Content[/qtbl]

<!-- Alternative Vector if quotes are handled differently -->
[qtbl style="background-image:url('javascript:alert(1)')"]Content[/qtbl]

影响范围

WordPress Quick Table Plugin <= 1.0.0

防御指南

临时缓解措施

若无法立即升级插件，建议暂时禁用Quick Table插件。同时，应严格限制用户注册权限，仅允许可信用户发布内容，并部署Web应用防火墙（WAF）以检测和拦截常见的XSS攻击向量。