CVE-2026-7462CVE-2026-7462 是 WordPress 插件 VatanSMS WP SMS 中发现的一个安全漏洞。该插件在 1.01 及以下版本中存在反射型跨站脚本(XSS)漏洞。漏洞源于对 `page` 参数的输入清理和输出转义不足。未经身份验证的攻击者可以利用此漏洞,诱导管理员点击恶意链接,从而在管理员的浏览器上下文中注入任意 Web 脚本。一旦脚本执行,攻击者可能窃取管理员 Cookie、会话令牌或执行其他恶意操作,危及网站安全。
该漏洞属于反射型跨站脚本攻击,其根本原因在于应用程序未对用户输入的 `page` 参数进行严格的输入验证和安全过滤,也未在输出到 HTML 页面时进行适当的上下文感知转义。具体而言,在 VatanSMS WP SMS 插件的后台管理页面(包括 `groups.php`、`outbox.php` 和 `subscribers.php` 等文件)中,代码直接将 HTTP GET 请求中的 `page` 参数值反射回响应页面,且未将其包裹在安全的 HTML 标签或进行 HTML 实体编码。攻击者可以构造特制的恶意 URL,其中包含 JavaScript 代码(如 `<script>alert(1)</script>`)作为 `page` 参数的值。当受害者(通常是 WordPress 管理员)被诱骗点击该链接时,服务器会将包含恶意代码的页面返回给受害者的浏览器。由于浏览器认为该脚本来自受信任的域名,因此会解析并执行该脚本。这允许攻击者在受害者的浏览器会话中执行任意代码,进而劫持会话、窃取 Cookie、篡改页面内容或重定向到恶意网站。由于无需身份验证即可触发,该漏洞具有较高的社交工程利用风险。