CVE-2026-8038WordPress Faces of Users插件在0.0.3及之前版本中存在存储型跨站脚本(XSS)漏洞。该漏洞源于对'shortcode'属性的输入清理和输出转义不充分。具有Contributor及以上权限的认证攻击者可利用此漏洞注入任意Web脚本,当用户访问被注入的页面时,脚本将在浏览器中执行,可能导致敏感信息泄露。
该漏洞的技术根源在于WordPress插件Faces of Users对'facesofusers'短代码处理逻辑中的安全缺陷。具体而言,插件未对'default' shortcode属性实施充分的输入验证和输出转义。在受影响版本(<= 0.0.3)中,攻击者可利用此缺陷,构造恶意的短代码Payload。由于插件直接回显用户输入,攻击者仅需Contributor(投稿者)权限即可将恶意脚本注入并持久化存储在数据库中。这是一种典型的存储型跨站脚本攻击(Stored XSS)。当目标用户(如管理员)访问被植入恶意代码的页面时,浏览器将解析并执行该脚本。这可能导致攻击者窃取管理员会话凭证、提升权限或在前端执行任意操作,对网站构成严重威胁。