CVE-2026-6813: WordPress Continually插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2026-6813

漏洞类型

存储型跨站脚本

CVSS评分

4.4 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

WordPress Continually Plugin

漏洞概述

WordPress插件Continually在4.3.1及之前版本中存在存储型跨站脚本（XSS）漏洞。该漏洞是由于管理设置页面缺乏足够的输入清洗和输出转义导致的。拥有管理员及以上权限的认证攻击者可以利用此漏洞在页面中注入任意Web脚本。当用户访问被注入的页面时，脚本将会执行。值得注意的是，此漏洞仅影响多站点安装环境或已禁用unfiltered_html功能的安装环境。

技术细节

该漏洞源于插件在处理管理员后台设置时未对用户输入进行严格的过滤和转义。具体而言，在`class-continually-admin.php`中接收设置数据时，未对特殊字符（如<, >, ', "）进行消毒处理，导致恶意代码被直接存储到数据库中。随后，在前端展示插件配置时（通常位于`class-continually-public.php`），插件直接输出了未转义的数据。尽管CVSS评分要求高权限（PR:H），但在WordPress多站点架构中，子站点的管理员若不具备修改系统核心文件的能力，仍可利用此漏洞提升权限或攻击超级管理员。攻击者可以注入窃取Cookie的脚本或重定向恶意钓鱼页面，从而威胁站点安全。

攻击链分析

STEP 1

步骤1

攻击者使用具有管理员权限的账户登录WordPress后台。

STEP 2

步骤2

导航至Continually插件的设置页面。

STEP 3

步骤3

在存在漏洞的配置字段（如聊天框ID或自定义脚本字段）中输入恶意JavaScript代码（Payload）。

STEP 4

步骤4

保存设置，恶意脚本被存储在网站的数据库中。

STEP 5

步骤5

普通用户或管理员访问加载了该插件设置的页面。

STEP 6

步骤6

浏览器解析未转义的恶意脚本并执行，攻击者窃取会话信息或执行其他操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!--
PoC for CVE-2026-6813
Context: Injecting payload into vulnerable admin setting field.
-->

<script>
  // Simulating the payload injection
  // Attackers would input this string into the vulnerable parameter in the admin dashboard
  const payload = '"><script>alert(1)</script>';

  console.log("Payload to inject: " + payload);

  // When the setting is rendered on the frontend without escaping:
  // <input value=""><script>alert(1)</script>">
  // The script block executes.
</script>

影响范围

Continually <= 4.3.1

防御指南

临时缓解措施

如果无法立即升级插件，建议暂时禁用Continually插件以消除风险。对于多站点WordPress安装，应严格限制子站点管理员的权限，并移除不可信用户的unfiltered_html权限。此外，部署内容安全策略（CSP）可作为辅助防御手段，阻止未授权脚本的执行。