摘要

一個影響 myCred WordPress 插件（版本 ≤ 2.9.7.3）的儲存型跨站腳本（XSS）漏洞被披露並分配了 CVE-2026-0550。擁有貢獻者（或更高）權限的經過身份驗證的用戶可以注入持久的惡意有效載荷，該有效載荷隨後通過 mycred_load_coupon 短代碼在前端呈現。此問題已在 myCred 2.9.7.4 中修復。本公告解釋了技術風險、可能的利用路徑、檢測策略和逐步修復方法——包括立即加固和虛擬修補選項。.

如果您的任何 WordPress 網站上安裝了 myCred，請完整閱讀並立即採取行動。.

快速事實

• 受影響的插件：myCred（WordPress）
• 易受攻擊的版本：≤ 2.9.7.3
• 修復版本：2.9.7.4
• 漏洞類型：儲存型跨站腳本 (XSS)
• 利用所需的權限：貢獻者（經過身份驗證）
• CVE：CVE-2026-0550
• 估計嚴重性：中等 / CVSS 6.5（需要經過身份驗證的用戶，但持久性 XSS）
• 利用影響：攻擊者提供的腳本在訪問者的瀏覽器中執行——可能的帳戶接管、內容注入、網絡釣魚、重定向和客戶端漏洞
• 立即緩解：更新插件；如果無法立即更新，則通過 WAF 規則應用虛擬修補並限制貢獻者的能力

發生了什麼 — 簡單明瞭

myCred 暴露了一個短代碼（mycred_load_coupon）用於顯示優惠券內容。在易受攻擊的版本中，貢獻者可以創建的數據在存儲或輸出之前未正確清理/轉義。惡意的貢獻者可以在優惠券字段中添加標記或 JavaScript，該短代碼隨後將其不變地輸出到頁面中。由於有效載荷存儲在數據庫中並在訪問者查看短代碼輸出時呈現，這是儲存型 XSS——一種持久的客戶端漏洞。.

儲存型 XSS 特別危險，因為惡意內容會持續存在，並可能隨著時間影響許多訪問者，包括在儀表板或前端查看受影響頁面的管理員和編輯。.

為什麼這對你很重要

1. 貢獻者很常見：許多網站允許外部貢獻者、客座作者、聯盟或低權限用戶創建內容。如果您允許該角色，您的風險會增加。.
2. 儲存型 XSS 可能影響受信任的用戶：查看頁面的管理員和編輯如果攻擊者製作了外洩有效載荷，可能會暴露 cookies 或會話令牌。.
3. SEO 和聲譽損害：惡意腳本可以注入 SEO 垃圾郵件，將訪問者重定向到惡意軟件/網絡釣魚頁面，或顯示不必要的廣告。.
4. 橫向升級：攻擊者可以利用 XSS 通過會話盜竊、CSRF 或對特權用戶的社會工程來提升權限。.

利用場景——攻擊者會做什麼

• 攻擊者註冊或使用現有的貢獻者帳戶。.
• 他們創建或編輯優惠券並嵌入有效載荷（例如，,
  查看我的訂單

  0

  小計

  稅金和運費在結帳時計算

  結帳