| 插件名稱 | Prisna GWT – Google 網站翻譯器 |
|---|---|
| 漏洞類型 | 跨站腳本攻擊 (XSS) |
| CVE 編號 | CVE-2024-12680 |
| 緊急程度 | 低 |
| CVE 發布日期 | 2026-01-30 |
| 來源 URL | CVE-2024-12680 |
CVE-2024-12680:Prisna GWT – Google 網站翻譯器中的管理員儲存 XSS(≤ 1.4.13)— WordPress 網站擁有者需要知道的事項
作者: 香港安全專家 · 日期: 2026-01-30
TL;DR — 一個儲存的跨站腳本(XSS)漏洞(CVE‑2024‑12680)影響版本低於 1.4.14 的 Prisna GWT – Google 網站翻譯器插件。利用此漏洞需要經過身份驗證的管理員進行互動(需要用戶互動),但可能導致在管理上下文中執行腳本。請立即更新至 1.4.14,審核數據庫中的注入腳本,並應用包括 WAF 規則和管理帳戶加固在內的臨時緩解措施。.
概述
On 30 January 2026 a stored Cross‑Site Scripting (XSS) vulnerability affecting the WordPress plugin “Prisna GWT – Google Website Translator” (versions < 1.4.14) was published and assigned CVE‑2024‑12680. The vulnerability is classified as an “Admin+ Stored XSS” — meaning a privileged account (administrator) can be targeted, and a malicious payload saved in plugin data will execute in the browser when certain admin pages or UI elements are viewed or interacted with.
Although the vulnerability’s base severity is moderate (CVSS 5.9), the practical risk is limited by the required privileges and user interaction. However, stored admin‑side XSS can enable post‑exploitation actions such as:
- 注入管理 JavaScript 以促進持久性(例如,更改網站選項或引入後門)
- 竊取管理員的 Cookie 或身份驗證令牌(會話接管)
- 在與其他缺陷鏈接時觸發進一步的自動化攻擊或橫向移動
- 注入惡意管理 UI 元素以釣魚憑證或引入惡意重定向
本指南從香港安全專業人士的角度解釋了問題、安全檢測步驟、緩解選項和恢復指導。.
What exactly is an “Admin Stored XSS”?
Stored XSS occurs when user-supplied data is stored on the server and later rendered to users without proper sanitization or encoding. In an “Admin Stored XSS” case:
- 有效載荷由攻擊者(或被攻陷的管理員帳戶)儲存在插件選項、管理設置或其他伺服器端存儲中。.
- 當另一位管理員(或同一位管理員執行例行任務)打開插件管理頁面時,儲存的腳本在他們的瀏覽器上下文中執行。.
- 因為這是在管理員的瀏覽器中執行,並且具有該用戶的權限,所以可以執行該用戶通過 UI 可以執行的任何操作——包括更改設置、編輯主題/插件文件、創建新用戶等。.
在本報告中,插件接受的管理輸入在輸出到管理 UI 之前未經充分清理或轉義。.
範圍和受影響版本
- 受影響的插件:Prisna GWT – Google 網站翻譯器
- Affected versions: any version older than 1.4.14 (< 1.4.14)
- 修正版本:1.4.14
- CVE:CVE‑2024‑12680
- 所需權限:管理員
- 用戶互動:需要(管理員必須查看/點擊一個精心製作的頁面或鏈接)
- OWASP 類別:A3 — 注入(跨站腳本攻擊)
- 補丁優先級:低(但仍建議儘快推出)
為什麼你仍然應該關心(即使需要管理員訪問)
許多網站的妥協始於管理員憑證盜竊或社會工程。攻擊者可以通過網絡釣魚、重複使用的密碼或被攻擊的開發者工具獲得管理員憑證。管理界面的存儲型 XSS 吸引人,因為它允許攻擊者:
- 通過代碼注入或配置更改將單個被攻擊的管理會話轉變為持久控制
- Circumvent server‑side protections by manipulating the admin’s browser (client‑side persistence)
- 使用社會工程來欺騙管理員加載精心製作的 URL 或打開特定的設置頁面
因此,儘管需要特權,但下游影響可能是嚴重的。.
高級別的利用流程(不可行動)
注意:未提供利用代碼或逐步武器化說明。.
- 一個特權用戶被欺騙訪問一個精心製作的管理 URL 或與惡意輸入表單互動。.
- 攻擊者使用插件設置或選項字段來存儲包含 JavaScript 的有效負載。.
- 當管理員打開相關的插件管理頁面時,瀏覽器執行存儲的腳本。.
- The script acts in the context of the admin’s authenticated session — changing options, adding users, exfiltrating tokens, etc.
立即修復的方法是移除易受攻擊的輸出路徑或更新到修補過的插件。.
立即行動(現在該做什麼)
如果您運行安裝了此插件的 WordPress 網站,請立即採取以下步驟:
- 立即更新
- 儘快在生產、測試和開發環境中將插件更新至版本 1.4.14(或更高版本)。.
- 如果未啟用自動更新,請安排更新並在可能的情況下集中更新。.
- 如果您無法立即更新,請禁用該插件
- 暫時停用插件,直到可以更新為止。這樣可以移除易受攻擊的管理 UI 輸出,防止存儲的有效負載執行。.
- 審核管理員帳戶和會話
- 強制所有管理員帳戶重置密碼。.
- 使所有活動會話失效(使用會話管理工具或 WP‑CLI,視情況而定)。.
- 為所有管理員啟用雙因素身份驗證(2FA)。.
- 掃描注入的腳本內容
- Search the database for suspicious strings commonly associated with XSS:
- Check plugin-specific options (wp_options rows with option_name matching the plugin’s keys), plus post_meta and term_meta areas the plugin may use.
- Run searches on a staging copy to avoid accidental changes to production data.
- Search the database for suspicious strings commonly associated with XSS:
- Use a Web Application Firewall (WAF) to create temporary protections
- Add WAF rules to block admin POST requests that contain script tags or dangerous attributes.
- Block requests with javascript: URIs or encoded script sequences (e.g. %3Cscript).
- Prevent unauthenticated or low‑privilege users from accessing sensitive admin endpoints.
- Review and clean any detected injections
- If you find injected scripts in the database, remove them carefully.
- Consider restoring from a clean backup if you cannot confidently remove all malicious entries.
- Rotate API keys and credentials stored in options after cleaning.
Detection: how to find signs of exploitation
Look for the following indicators:
