CVE-2026-6447 CVSS 4.4 中危

CVE-2026-6447: WooCommerce插件存储型XSS漏洞

披露日期: 2026-05-02

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-6447

漏洞类型

存储型XSS

CVSS评分

4.4 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Call for Price for WooCommerce

漏洞概述

WordPress插件“Call for Price for WooCommerce”在4.2.0及之前版本中存在存储型跨站脚本（XSS）漏洞。该漏洞源于管理设置页面缺乏充分的输入清理和输出转义。在多站点安装或禁用了unfiltered_html权限的环境中，拥有管理员及以上权限的经过身份验证的攻击者可以利用此漏洞在页面中注入任意Web脚本，当用户访问被注入的页面时，恶意脚本将被执行。

技术细节

该漏洞位于WooCommerce的“Call for Price”插件的管理后台设置功能中。由于插件在处理特定配置选项时未对用户提交的数据进行严格的输入验证和过滤，同时在输出时缺乏必要的转义机制，导致攻击者能够存储恶意载荷。尽管利用此漏洞通常需要管理员级别的账户权限，但在WordPress多站点配置或unfiltered_html功能被禁用的标准安装中，管理员通常无法直接发布HTML代码。此漏洞允许具有管理员权限的攻击者绕过这些安全限制，通过受影响的设置参数注入持久化的JavaScript代码，进而影响后续访问该管理页面的其他用户。

攻击链分析

STEP 1

1. 获取权限

攻击者获取WordPress管理员账户权限。

STEP 2

2. 访问设置

进入插件后台设置页面。

STEP 3

3. 注入代码

在设置字段中输入恶意JavaScript代码并保存。

STEP 4

4. 触发漏洞

其他用户访问受影响页面时，代码在浏览器端执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC Concept: Stored XSS in Admin Settings
1. Log in as Admin.
2. Go to WooCommerce > Call for Price Settings.
3. Inject payload into a text field (e.g., 'Call for Price Text').
4. Save.
5. View product page or settings page to trigger.
-->
<script>alert('CVE-2026-6447_XSS');</script>
<img src=x onerror=alert(1)>

影响范围

Call for Price for WooCommerce <= 4.2.0

防御指南

临时缓解措施

若无法升级，请暂时禁用该插件或限制对插件设置页面的访问。使用WAF规则拦截常见的XSS攻击模式。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表