CVE-2026-6495WordPress插件Ajax Load More在7.8.4版本之前存在严重的安全漏洞。由于该插件未对特定用户提交的参数进行充分的清理和安全转义,导致这些参数被直接输出回页面中,引发了反射型跨站脚本(XSS)漏洞。攻击者可精心构造恶意链接,诱导网站管理员等高权限用户点击。一旦触发,恶意脚本将在管理员浏览器中执行,可能导致会话劫持、账户接管甚至进一步获取服务器控制权,严重威胁网站安全。
该漏洞的根本原因是缺乏输出编码,属于典型的反射型跨站脚本漏洞。在Ajax Load More插件的前端交互逻辑中,某些接收用户输入的端点未对数据进行安全性校验。攻击者可以利用URL参数注入恶意的JavaScript代码(如<script>alert(document.cookie)</script>)。当未经过滤的参数直接嵌入到HTTP响应的HTML源码中返回时,浏览器会将其解析为可执行代码而非普通文本。攻击链依赖于社会工程学,因为CVSS向量显示需要用户交互(UI:R)。攻击者通常将特制的URL发送给目标管理员。鉴于WordPress管理员拥有较高的权限,一旦脚本在管理员的浏览器会话中运行,攻击者便能利用该身份执行添加恶意管理员、上传后门文件或窃取敏感认证Cookie等操作。由于作用域为S:C(Changed),攻击者可能利用该漏洞进一步攻击同一浏览器访问的其他内部系统,导致安全边界被突破。