CVE-2026-7457WordPress插件LatePoint在5.5.0及之前版本中存在存储型跨站脚本(XSS)漏洞。该漏洞源于客户资料更新端点的输入清理不足,以及通知模板预览功能中的输出转义缺失。攻击者可利用此漏洞,通过在个人资料字段(如姓名、电话、备注)中注入恶意脚本,当管理员或代理预览包含客户变量的通知模板时触发脚本执行,从而窃取敏感信息或进行账户劫持。
该漏洞主要由输入验证和输出转义两个环节的缺陷共同导致。首先,`OsCustomerModel`类未重写`params_to_sanitize()`方法,导致在处理客户资料更新请求时,`set_data()`方法会将原始POST参数(如`first_name`, `last_name`等)未经任何过滤直接存储到数据库中。其次,在生成通知预览时,`generate_preview()`函数使用`str_replace()`将存储的未转义变量值直接替换到HTML模板中,且在输出前未调用`esc_html()`进行安全转义。因此,经过认证的攻击者(如普通客户)可以在个人资料中植入JavaScript代码。当管理员或代理在后台预览包含`{{customer_full_name}}`等占位符的通知模板时,恶意脚本将在其浏览器上下文中执行,导致窃取Cookie或执行管理操作。