CVE-2026-6256 WordPress Credits Shortcode 存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2026-6256

漏洞类型

存储型跨站脚本

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Credits Shortcode Plugin

漏洞概述

WordPress Credits Shortcode插件在1.2及之前版本中存在存储型XSS漏洞。由于对'credits'短代码中的'link'属性缺乏足够的输入清理和输出转义，拥有贡献者及以上权限的攻击者可在页面中注入恶意脚本。当用户访问被注入的页面时，脚本将自动执行，可能导致敏感信息泄露或会话劫持。

技术细节

该漏洞的根本原因是WordPress Credits Shortcode插件在处理用户输入时缺乏足够的安全校验机制。插件在解析`[credits]`短代码时，直接将用户通过`link`参数传入的数据拼接到HTML输出中，未使用WordPress标准的转义函数（如`esc_url`）进行处理。这使得攻击者能够绕过基本的HTML过滤机制。攻击者利用具有contributor级别权限的账户登录WordPress后台，在文章编辑器中插入包含JavaScript伪协议或事件处理程序的恶意短代码。一旦文章被发布，恶意载荷便持久化存储在数据库中。当管理员或其他用户浏览该页面时，服务器端未做过滤直接输出，导致浏览器解析并执行恶意脚本。此时，攻击者可利用窃取的Cookie进行会话劫持，或者进一步诱导管理员执行敏感操作。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标站点是否安装了存在漏洞的WordPress Credits Shortcode插件（版本 <= 1.2）。

STEP 2

步骤2：获取权限

攻击者注册或通过其他方式获取一个具有Contributor（贡献者）或更高级别权限的WordPress账户。

STEP 3

步骤3：注入Payload

攻击者在后台编辑文章，利用'credits'短代码插入恶意JavaScript代码，例如 [credits link="javascript:alert(1)"]，并保存或发布文章。

STEP 4

步骤4：触发漏洞

诱导管理员或其他用户访问包含该短代码的页面。当页面加载时，浏览器解析未经过滤的'link'属性并执行恶意脚本。

STEP 5

步骤5：执行攻击

恶意脚本在受害者的浏览器中运行，窃取Session Cookie、重定向至钓鱼网站或执行其他恶意操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for CVE-2026-6256 Stored XSS -->
<!-- Step 1: Log in as a Contributor or higher -->
<!-- Step 2: Create a new Post -->
<!-- Step 3: Insert the following shortcode into the content -->

[credits link="javascript:alert('CVE-2026-6256_XSS')"]

<!-- Step 4: Publish the post -->
<!-- Step 5: Visit the post page to trigger the alert -->

影响范围

Credits Shortcode Plugin <= 1.2

防御指南

临时缓解措施

建议立即升级插件到修复了该漏洞的版本。如果暂时无法升级，应禁用该插件并检查网站数据库中是否已存在被注入的恶意短代码。同时，仅允许受信任的用户发布内容，并确保所有用户使用强密码以防账户被劫持利用此漏洞。