CVE-2026-6690WordPress LifePress插件在2.2.2及之前版本中存在严重的存储型跨站脚本(XSS)漏洞。该漏洞源于`wp_ajax_nopriv_lp_update_mds` AJAX操作缺乏Nonce验证和权限检查,且对'n'参数的输入清洗和输出转义不足。未经身份验证的攻击者可利用此缺陷注入恶意Web脚本,一旦管理员访问受感染的管理页面,脚本即自动执行,可能导致会话劫持或恶意操作。
该漏洞的核心在于WordPress LifePress插件对AJAX请求处理的不当实现。具体而言,插件在`includes/admin/class-admin-ajax.php`中注册了`wp_ajax_nopriv_lp_update_mds`动作,该动作允许未认证用户通过`lp_update_mds`参数触发更新逻辑。由于代码中未包含WordPress标准的Nonce验证机制,也未进行用户能力检查,任何匿名用户均可调用此接口。漏洞触发点在于'n'参数(系列名称),该数据在未经充分过滤的情况下直接存储。当管理员访问插件的后台设置页面(`class-metrics.php`渲染页面时)时,存储的恶意数据会被输出到HTML中,且缺乏必要的转义处理,导致浏览器将其作为JavaScript代码执行。