CVE-2026-6549WordPress插件“Logo Manager For Enamad”在版本0.7.4及以下存在严重的存储型跨站脚本(Stored XSS)漏洞。该问题的根本原因是插件未能对用户通过短代码输入的属性进行充分的输入清理和输出转义。具体受影响的短代码包括`vc_enamad_namad`、`vc_enamad_shamed`和`vc_enamad_custom`中的'title'属性。拥有投稿者级别及以上权限的认证攻击者可以利用此漏洞,在网站页面中注入恶意的Web脚本。一旦管理员或普通用户访问了被注入的页面,这些脚本就会自动执行。攻击者可借此窃取敏感信息(如Cookie)、劫持用户会话或执行其他未经授权的操作,对网站安全构成威胁。
该漏洞属于典型的存储型XSS,利用了WordPress插件开发中常见的不安全数据处理习惯。漏洞触发点位于插件处理短代码的渲染逻辑中。当插件解析`vc_enamad_namad`等短代码时,它直接从短代码属性中提取'title'参数的值,并将其拼接到HTML输出中,而未经过任何安全过滤或HTML实体编码。攻击者只需具备文章编辑权限(如投稿者角色),即可在文章内容中插入精心构造的Payload。例如,通过在title属性中插入双引号闭合原有属性,随后添加`<script>`标签或`onerror`事件处理器。当文章保存后,恶意载荷被持久化存储在WordPress数据库中。攻击链的关键在于触发阶段:当具有高权限的管理员访问该文章页面进行审核或查看时,服务器端解析短代码并返回包含恶意脚本的HTML页面。由于浏览器执行了该脚本,攻击者即可在管理员的会话上下文中执行恶意代码,从而可能接管管理员账户。