CVE-2026-6962 CVSS 6.4 中危

CVE-2026-6962 WooCommerce插件存储型XSS漏洞

披露日期: 2026-05-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-6962

漏洞类型

存储型跨站脚本攻击 (Stored XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Cost of Goods: Product Cost & Profit Calculator for WooCommerce

漏洞概述

该WordPress插件“Cost of Goods: Product Cost & Profit Calculator for WooCommerce”在所有版本（包括4.1.0及以下）中存在存储型跨站脚本（XSS）漏洞。漏洞源于插件对用户提供的属性在`alg_wc_cog_product_cost`和`alg_wc_cog_product_profit`短代码中缺乏足够的输入清理和输出转义。拥有贡献者级别及以上权限的经过身份验证的攻击者可以利用此漏洞在页面中注入任意Web脚本。当用户访问被注入的页面时，脚本将自动执行，可能导致窃取用户凭证或进行恶意操作。

技术细节

该漏洞的核心在于WordPress插件对Shortcode（短代码）处理的不安全实现。具体而言，插件中的`alg_wc_cog_product_cost`和`alg_wc_cog_product_profit`短代码允许用户通过属性输入数据，但在处理这些属性时，未进行严格的输入验证和消毒，且在输出到HTML页面时未进行适当的转义。攻击者利用这一缺陷，可以在具有“贡献者”权限的账号下发布文章或页面，并在短代码属性中嵌入恶意的JavaScript代码（例如`<script>`标签或事件处理器）。由于这是存储型XSS，恶意代码会被持久化存储在服务器的数据库中。当管理员或其他用户浏览受影响的页面时，浏览器会解析并执行这些恶意脚本，从而在受害者的浏览器上下文中运行。这可能导致会话劫持、篡改网页内容或重定向至恶意站点。CVSS向量中的S:C表示该漏洞具有跨站影响，即攻击可能波及同源下的其他Web应用。

攻击链分析

STEP 1

步骤1：获取权限

攻击者注册或获取一个WordPress网站具有贡献者（Contributor）及以上级别的账户权限。

STEP 2

步骤2：构造恶意载荷

攻击者编辑文章或页面，在内容中插入包含JavaScript恶意代码的特定短代码，例如利用`onmouseover`事件。

STEP 3

步骤3：存储恶意代码

攻击者保存或提交文章，由于缺乏过滤，恶意短代码被存储在数据库中。

STEP 4

步骤4：触发漏洞

当管理员或其他用户访问包含该恶意短代码的页面时，浏览器解析短代码并执行其中的JavaScript脚本。

STEP 5

步骤5：执行攻击

恶意脚本在受害者浏览器中运行，窃取Cookie、会话令牌或执行其他未经授权的操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- PoC for Stored XSS in Cost of Goods for WooCommerce -->
<!-- Place this shortcode in a post or page content -->

<!-- Payload using event handler to execute JS -->
[alg_wc_cog_product_profit onmouseover="alert('XSS')"]Click Me[/alg_wc_cog_product_profit]

<!-- Alternatively, using the cost shortcode -->
[alg_wc_cog_product_cost onmouseout="alert(document.cookie)"]Price[/alg_wc_cog_product_cost]

影响范围

Cost of Goods: Product Cost & Profit Calculator for WooCommerce <= 4.1.0

防御指南

临时缓解措施

如果无法立即升级，建议暂时禁用该插件，或者通过代码修改移除存在漏洞的短代码功能。同时，管理员应审查网站内容，确保没有已发布的恶意文章，并对所有用户账户进行安全审查，防止未授权访问。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表