WWordPress 漏洞資料庫

香港安全警報 AddFunc 中的 XSS (CVE20262305)

WordPress AddFunc Head & Footer Code 插件中的跨站腳本攻擊 (XSS)
0
分享次數
0
0
0
0





AddFunc Head & Footer Code XSS (CVE-2026-2305) — What WordPress Site Owners Need to Know


插件名稱 AddFunc 頁首與頁尾程式碼
漏洞類型 跨站腳本攻擊 (XSS)
CVE 編號 CVE-2026-2305
緊急程度
CVE 發布日期 2026-04-10
來源 URL CVE-2026-2305

AddFunc 頁首與頁尾程式碼 XSS (CVE-2026-2305):WordPress 網站擁有者需要知道的事項

日期:2026 年 4 月 10 日 — 嚴重性:低 (CVSS 6.5) — 受影響版本:≤ 2.3 — 修補於:2.4 — 所需權限:貢獻者(已驗證)

摘要: 在 AddFunc 頁首與頁尾程式碼(版本最高至 2.3)中,經過身份驗證的存儲型跨站腳本(XSS)問題允許貢獻者級別的用戶通過自定義欄位保存類似腳本的有效負載,這些有效負載可能會在後續未經清理地呈現。這份說明從一位位於香港的安全專家的角度提供了風險、檢測、清理和緩解步驟的務實、以實踐者為中心的分析。.

執行摘要 — 發生了什麼以及為什麼重要

  • 該插件允許用戶提供的內容從文章自定義字段中包含在輸出中,而沒有足夠的清理或轉義。.
  • 擁有貢獻者權限的經過身份驗證的用戶(能夠創建或編輯文章並添加自定義字段)可以保存包含腳本標籤或事件處理程序的內容。.
  • 如果該內容在前端或管理界面中未經適當轉義地呈現,則存儲的腳本會在查看者的瀏覽器中執行。.
  • 影響取決於呈現上下文:
    • 前端執行可能影響訪問者(惡意重定向、表單欺騙、加密礦工注入、內容操縱)。.
    • 在管理頁面中的執行可以針對更高權限的用戶,導致帳戶接管、設置更改、插件/主題修改或後門。.
  • 該插件在版本 2.4 中已修補。更新至 2.4 以上是正確且主要的修復措施。.

為什麼貢獻者可能是危險的 — 現實世界威脅模型

網站擁有者通常認為貢獻者風險低,因為他們無法發布。這對於發布工作流程是正確的,但貢獻者通常可以創建文章、編輯草稿並添加自定義字段(根據網站配置允許)。自定義字段中的存儲型 XSS 是危險的,因為有效負載是持久的,並且每當未經轉義地呈現時都會執行。.

主要要點:

  • 持久性:惡意內容存儲在數據庫中,並且可以在稍後觸發。.
  • 權限擴大:如果管理用戶在儀表板中查看受感染的內容,攻擊者可以利用管理員的已驗證會話進行轉移。.
  • 實際攻擊向量包括 CSRF 結合 XSS 以執行特權操作(創建管理員帳戶、更改選項、安裝代碼)。.

典型的利用流程(高層次,非可行)

  1. 攻擊者註冊或入侵一個貢獻者帳戶。.
  2. 攻擊者保存一篇文章或草稿,並將惡意內容注入自定義欄位(例如,, 或屬性有效負載,例如 onerror=…)。.
  3. 內容存儲在 postmeta 中。.
  4. 當帖子在輸出未經清理的字段的上下文中呈現時(前端、管理預覽、元框),瀏覽器執行 JavaScript。.
  5. 如果管理員查看受影響的管理屏幕,該腳本可能會使用管理員的會話執行特權操作(提取 cookies、創建管理員用戶、修改文件、安裝後門)。.

一些通告列出「需要用戶互動」——實際上,互動可以簡單到打開帖子編輯器或一個精心製作的預覽鏈接。.

保護您的網站的實際步驟——立即行動(檢查清單)

  1. 更新插件 — 如果您使用 AddFunc 頁首與頁尾程式碼,請立即更新至 2.4 或更高版本。這是官方修復。.
  2. 如果您無法立即更新
    • 暫時移除或禁用該插件。.
    • 在修補之前,限制貢獻者添加或編輯自定義字段。.
    • 如果您有該能力,請在 WAF 層應用虛擬修補(請參見下面的 WAF 指導)。.
  3. 掃描自定義字段中的惡意內容

    使用 WP-CLI 或直接的數據庫查詢(備份後)來查找包含的元值

  4. Audit user accounts — Verify Contributors and Editors; remove stale or suspicious accounts. Enforce strong passwords and 2FA for privileged roles.
  5. Check for signs of compromise — unknown admin accounts, unexpected plugin/theme files, modified files, scheduled tasks, or outbound connections.
  6. Rotate credentials if compromise is suspected — reset admin passwords, revoke API keys, and invalidate sessions.
  7. Backup before cleanup — take a full files+DB backup before making remediation changes to preserve evidence and allow rollback.
  8. Harden custom fields — require sanitization on save and escaping on output (see developer guidance below).

How to find malicious stored XSS entries safely

Always work from a full backup and start with read-only queries to identify suspicious entries, then review them manually.

# Find postmeta that contains