WWordPress 漏洞資料庫

香港安全警報 Prisna GWT XSS (CVE202412680)

WordPress Prisna GWT – Google 網站翻譯插件中的跨站腳本 (XSS)
0
分享次數
0
0
0
0
插件名稱 Prisna GWT – Google 網站翻譯器
漏洞類型 跨站腳本攻擊 (XSS)
CVE 編號 CVE-2024-12680
緊急程度
CVE 發布日期 2026-01-30
來源 URL CVE-2024-12680

CVE-2024-12680:Prisna GWT – Google 網站翻譯器中的管理員儲存 XSS(≤ 1.4.13)— WordPress 網站擁有者需要知道的事項

作者: 香港安全專家 · 日期: 2026-01-30

TL;DR — 一個儲存的跨站腳本(XSS)漏洞(CVE‑2024‑12680)影響版本低於 1.4.14 的 Prisna GWT – Google 網站翻譯器插件。利用此漏洞需要經過身份驗證的管理員進行互動(需要用戶互動),但可能導致在管理上下文中執行腳本。請立即更新至 1.4.14,審核數據庫中的注入腳本,並應用包括 WAF 規則和管理帳戶加固在內的臨時緩解措施。.

概述

1. 在2026年1月30日,影響WordPress插件“Prisna GWT – Google Website Translator”(版本< 1.4.14)的存儲型跨站腳本(XSS)漏洞被公開並分配了CVE‑2024‑12680。該漏洞被分類為“管理員+存儲型XSS”——這意味著可以針對特權帳戶(管理員),並且在查看或與某些管理頁面或UI元素互動時,保存在插件數據中的惡意有效載荷將在瀏覽器中執行。 2. 雖然該漏洞的基本嚴重性為中等(CVSS 5.9),但實際風險受到所需權限和用戶互動的限制。然而,存儲型管理端XSS可以啟用後利用行動,例如:.

3. “管理員存儲型XSS”究竟是什麼?

  • 注入管理 JavaScript 以促進持久性(例如,更改網站選項或引入後門)
  • 竊取管理員的 Cookie 或身份驗證令牌(會話接管)
  • 在與其他缺陷鏈接時觸發進一步的自動化攻擊或橫向移動
  • 注入惡意管理 UI 元素以釣魚憑證或引入惡意重定向

本指南從香港安全專業人士的角度解釋了問題、安全檢測步驟、緩解選項和恢復指導。.

4. 當用戶提供的數據存儲在服務器上,並在未經適當清理或編碼的情況下後來呈現給用戶時,就會發生存儲型XSS。在“管理員存儲型XSS”的情況下:

5. 受影響的版本:任何早於1.4.14的版本(

  • 有效載荷由攻擊者(或被攻陷的管理員帳戶)儲存在插件選項、管理設置或其他伺服器端存儲中。.
  • 當另一位管理員(或同一位管理員執行例行任務)打開插件管理頁面時,儲存的腳本在他們的瀏覽器上下文中執行。.
  • 因為這是在管理員的瀏覽器中執行,並且具有該用戶的權限,所以可以執行該用戶通過 UI 可以執行的任何操作——包括更改設置、編輯主題/插件文件、創建新用戶等。.

在本報告中,插件接受的管理輸入在輸出到管理 UI 之前未經充分清理或轉義。.

範圍和受影響版本

  • 受影響的插件:Prisna GWT – Google 網站翻譯器
  • 6. 通過操縱管理員的瀏覽器來繞過服務器端保護(客戶端持久性)< 1.4.14)
  • 修正版本:1.4.14
  • CVE:CVE‑2024‑12680
  • 所需權限:管理員
  • 用戶互動:需要(管理員必須查看/點擊一個精心製作的頁面或鏈接)
  • OWASP 類別:A3 — 注入(跨站腳本攻擊)
  • 補丁優先級:低(但仍建議儘快推出)

為什麼你仍然應該關心(即使需要管理員訪問)

許多網站的妥協始於管理員憑證盜竊或社會工程。攻擊者可以通過網絡釣魚、重複使用的密碼或被攻擊的開發者工具獲得管理員憑證。管理界面的存儲型 XSS 吸引人,因為它允許攻擊者:

  • 通過代碼注入或配置更改將單個被攻擊的管理會話轉變為持久控制
  • 7. 該腳本在管理員的身份驗證會話上下文中運行——更改選項、添加用戶、竊取令牌等。
  • 使用社會工程來欺騙管理員加載精心製作的 URL 或打開特定的設置頁面

因此,儘管需要特權,但下游影響可能是嚴重的。.

高級別的利用流程(不可行動)

注意:未提供利用代碼或逐步武器化說明。.

  1. 一個特權用戶被欺騙訪問一個精心製作的管理 URL 或與惡意輸入表單互動。.
  2. 攻擊者使用插件設置或選項字段來存儲包含 JavaScript 的有效負載。.
  3. 當管理員打開相關的插件管理頁面時,瀏覽器執行存儲的腳本。.
  4. 8. 在數據庫中搜索與XSS常見的可疑字符串:.

立即修復的方法是移除易受攻擊的輸出路徑或更新到修補過的插件。.

立即行動(現在該做什麼)

如果您運行安裝了此插件的 WordPress 網站,請立即採取以下步驟:

  1. 立即更新
    • 儘快在生產、測試和開發環境中將插件更新至版本 1.4.14(或更高版本)。.
    • 如果未啟用自動更新,請安排更新並在可能的情況下集中更新。.
  2. 如果您無法立即更新,請禁用該插件
    • 暫時停用插件,直到可以更新為止。這樣可以移除易受攻擊的管理 UI 輸出,防止存儲的有效負載執行。.
  3. 審核管理員帳戶和會話
    • 強制所有管理員帳戶重置密碼。.
    • 使所有活動會話失效(使用會話管理工具或 WP‑CLI,視情況而定)。.
    • 為所有管理員啟用雙因素身份驗證(2FA)。.
  4. 掃描注入的腳本內容
    • 在資料庫中搜尋與 XSS 常相關的可疑字串:
    • Check plugin-specific options (wp_options rows with option_name matching the plugin’s keys), plus post_meta and term_meta areas the plugin may use.
    • Run searches on a staging copy to avoid accidental changes to production data.
  5. Use a Web Application Firewall (WAF) to create temporary protections
    • Add WAF rules to block admin POST requests that contain script tags or dangerous attributes.
    • Block requests with javascript: URIs or encoded script sequences (e.g. %3Cscript).
    • Prevent unauthenticated or low‑privilege users from accessing sensitive admin endpoints.
  6. Review and clean any detected injections
    • If you find injected scripts in the database, remove them carefully.
    • Consider restoring from a clean backup if you cannot confidently remove all malicious entries.
    • Rotate API keys and credentials stored in options after cleaning.

Detection: how to find signs of exploitation

Look for the following indicators:

  • New or modified administrator user accounts you did not create
  • Unexpected changes in plugin or theme files
  • Recent modifications to the site’s wp_options table entries linked to the translator plugin
  • HTML containing