CVE-2026-7437WordPress AzonPost插件在1.3及之前版本中存在反射型跨站脚本(XSS)漏洞。该漏洞源于`editpos_hidden`参数缺乏足够的输入清理和输出转义机制。未经身份验证的攻击者可诱导管理员点击特制恶意链接,进而在管理员浏览器上下文中执行任意恶意Web脚本。成功利用此漏洞可能导致管理员会话被劫持或敏感信息泄露,建议用户尽快更新插件。
该漏洞属于典型的反射型跨站脚本攻击(Reflected XSS)。漏洞根源位于AzonPost插件的`azonpost-campaign.php`文件处理逻辑中。根据代码分析,在第152行及第396行附近,插件直接从HTTP请求中获取`editpos_hidden`参数的值,并在未经过滤或HTML实体编码的情况下,将其直接回显到HTML页面源码中。攻击者可以构造包含恶意JavaScript代码的URL,例如将Payload注入到`editpos_hidden`参数中。由于该接口无需身份验证即可访问,攻击者利用社会工程学手段诱导WordPress管理员点击该链接。一旦管理员在登录状态下访问,恶意脚本将在其浏览器上下文中执行,进而窃取Session ID、Cookie凭证,甚至利用管理员权限执行恶意操作。