CVE-2026-6247: WordPress插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2026-6247

漏洞类型

存储型跨站脚本 (Stored XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress scratchblocks for WP 插件

漏洞概述

WordPress插件scratchblocks for WP存在存储型跨站脚本漏洞。由于对用户提供的属性输入清理和输出转义不足，经过身份验证的攻击者（至少具有贡献者权限）可通过‘element’属性注入恶意脚本，导致访问注入页面的用户执行任意Web脚本。

技术细节

该漏洞源于WordPress插件scratchblocks for WP在处理‘scratchblocks’短代码时，未能对‘element’属性实施有效的输入清理和输出转义机制。攻击者可利用此安全缺陷，构造包含恶意JavaScript代码的短代码参数。由于系统未对用户可控的属性进行过滤，攻击者只需具备贡献者级别的权限，即可在发布的内容（如文章或页面）中植入持久化恶意代码。当普通用户或管理员访问被注入的页面时，存储在数据库中的恶意脚本将在其浏览器上下文中自动执行。鉴于CVSS向量中的S:C（范围更改），此漏洞可能突破当前文档的安全边界，影响同一源下的其他应用状态，进而导致账户被劫持或恶意操作。攻击链通常涉及注册低权限账户、发布包含Payload的文章、诱导管理员审核或访问，最终窃取Cookie或执行管理员操作。

攻击链分析

STEP 1

1. 获取权限

攻击者注册或获取一个具有Contributor（贡献者）级别及以上权限的WordPress账户。

STEP 2

2. 注入Payload

攻击者在编辑文章或页面时，切换到代码编辑模式，插入包含恶意JavaScript代码的‘scratchblocks’短代码，利用‘element’属性进行Payload注入。

STEP 3

3. 持久化存储

攻击者提交内容进行审核或发布（视权限而定），恶意短代码被存储在WordPress数据库中。

STEP 4

4. 触发执行

当管理员审核该文章或普通用户访问包含该短代码的页面时，服务器解析短代码并将未转义的恶意代码输出到HTML中。

STEP 5

5. 完成攻击

受害者的浏览器解析并执行恶意脚本，可能导致Cookie窃取、会话劫持或管理员权限下的恶意操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for Stored XSS in scratchblocks for WP plugin -->
<!-- Steps: Log in as Contributor, create new post, switch to Text/Code view -->
<!-- Insert the following shortcode -->

[scratchblocks element=\"><script>alert('XSS')</script>"]

<!-- Alternatively, if the attribute is reflected inside a tag value -->
[scratchblocks element="><img src=x onerror=alert(1)>"]

影响范围

scratchblocks for WP <= 1.0.1

防御指南

临时缓解措施

建议立即将插件升级至修复版本。若无法升级，应暂时禁用该插件或限制贡献者及以下用户的发布权限，并在输出端对“element”属性进行严格的HTML实体转义。