WWordPress 漏洞数据库

香港安全警报 Prisna GWT XSS(CVE202412680)

WordPress Prisna GWT – Google 网站翻译插件中的跨站脚本攻击 (XSS)
0
分享
0
0
0
0
插件名称 Prisna GWT – 谷歌网站翻译器
漏洞类型 跨站脚本攻击(XSS)
CVE 编号 CVE-2024-12680
紧急程度
CVE 发布日期 2026-01-30
来源网址 CVE-2024-12680

CVE-2024-12680:Prisna GWT – 谷歌网站翻译器中的管理员存储型XSS(≤ 1.4.13)——WordPress网站所有者需要知道的事项

作者: 香港安全专家 · 日期: 2026-01-30

TL;DR — 一个存储型跨站脚本(XSS)漏洞(CVE‑2024‑12680)影响版本低于1.4.14的Prisna GWT – 谷歌网站翻译器插件。利用该漏洞需要经过身份验证的管理员进行交互(需要用户交互),但可能导致在管理员上下文中执行脚本。请立即更新到1.4.14,审计数据库以查找注入的脚本,并应用临时缓解措施,包括WAF规则和管理员账户加固。.

概述

1. 2026年1月30日,影响WordPress插件“Prisna GWT – Google Website Translator”(版本< 1.4.14)的存储型跨站脚本(XSS)漏洞被公开,并被分配为CVE‑2024‑12680。该漏洞被分类为“管理员+存储型XSS”——这意味着可以针对特权账户(管理员),并且在查看或与某些管理员页面或UI元素交互时,保存在插件数据中的恶意负载将在浏览器中执行。 2. 尽管该漏洞的基本严重性为中等(CVSS 5.9),但由于所需的特权和用户交互,实际风险有限。然而,存储型管理员侧XSS可以启用后期利用操作,例如:.

3. “管理员存储型XSS”究竟是什么?

  • 注入管理JavaScript以促进持久性(例如,更改站点选项或引入后门)
  • 偷取管理员的cookie或身份验证令牌(会话接管)
  • 在与其他缺陷链式结合时触发进一步的自动化攻击或横向移动
  • 注入恶意管理员UI元素以钓取凭据或引入恶意重定向

本指南从香港安全从业者的角度解释了该问题、安全检测步骤、缓解选项和恢复指导。.

4. 存储型XSS发生在用户提供的数据存储在服务器上,并在没有适当清理或编码的情况下呈现给用户。在“管理员存储型XSS”案例中:

5. 受影响的版本:任何早于1.4.14的版本(

  • 有效载荷由攻击者(或被攻陷的管理员账户)存储在插件选项、管理员设置或其他服务器端存储中。.
  • 当另一位管理员(或同一管理员执行常规任务)打开插件管理员页面时,存储的脚本在他们的浏览器上下文中执行。.
  • 由于这在管理员的浏览器中执行,并且具有该用户的权限,因此可以执行用户通过UI可以执行的任何操作——包括更改设置、编辑主题/插件文件、创建新用户等。.

在本报告中,插件接受的管理员输入在输出到管理员UI之前未经过充分清理或转义。.

范围和受影响版本

  • 受影响的插件:Prisna GWT – 谷歌网站翻译器
  • 6. 通过操纵管理员的浏览器(客户端持久性)来规避服务器端保护< 1.4.14)
  • 修复版本:1.4.14
  • CVE:CVE‑2024‑12680
  • 所需权限:管理员
  • 用户交互:需要(管理员必须查看/点击一个精心制作的页面或链接)
  • OWASP 分类:A3 — 注入(跨站脚本攻击)
  • 补丁优先级:低(但仍建议尽快推出)

为什么你仍然应该关心(即使需要管理员访问权限)

许多网站被攻陷始于管理员凭证被盗或社会工程学攻击。攻击者可以通过网络钓鱼、重复使用的密码或被攻陷的开发者工具获取管理员凭证。存储在管理员用户界面中的 XSS 吸引人,因为它允许攻击者:

  • 将单个被攻陷的管理员会话转变为通过代码注入或配置更改的持久控制
  • 7. 脚本在管理员的认证会话上下文中执行——更改选项、添加用户、提取令牌等。
  • 使用社会工程学欺骗管理员加载一个精心制作的 URL 或打开特定的设置页面

因此,尽管需要特权,但下游影响可能是严重的。.

高级利用流程(不可操作)

注意:未提供利用代码或逐步武器化说明。.

  1. 一个特权用户被欺骗访问一个精心制作的管理员 URL 或与恶意输入表单互动。.
  2. 攻击者使用插件设置或选项字段存储包含 JavaScript 的有效负载。.
  3. 当管理员打开相关的插件管理员页面时,浏览器执行存储的脚本。.
  4. 8. 在数据库中搜索与XSS常见关联的可疑字符串:.

立即修复的方法是移除易受攻击的输出路径或更新到修补过的插件。.

立即行动(现在该做什么)

如果你运行安装了此插件的 WordPress 网站,请立即采取以下步骤:

  1. 立即更新
    • 尽快在生产、预发布和开发环境中将插件更新到版本 1.4.14(或更高版本)。.
    • 如果未启用自动更新,请安排更新并尽可能集中更新。.
  2. 如果您无法立即更新,请禁用该插件
    • 暂时停用插件,直到可以更新为止。这将移除存储有效负载可以执行的易受攻击的管理员 UI 输出。.
  3. 审核管理员账户和会话
    • 强制所有管理员账户重置密码。.
    • 使所有活动会话失效(使用会话管理工具或可用的 WP‑CLI)。.
    • 为所有管理员启用双因素身份验证 (2FA)。.
  4. 扫描注入的脚本内容
    • 在数据库中搜索与XSS常关联的可疑字符串:
    • Check plugin-specific options (wp_options rows with option_name matching the plugin’s keys), plus post_meta and term_meta areas the plugin may use.
    • Run searches on a staging copy to avoid accidental changes to production data.
  5. Use a Web Application Firewall (WAF) to create temporary protections
    • Add WAF rules to block admin POST requests that contain script tags or dangerous attributes.
    • Block requests with javascript: URIs or encoded script sequences (e.g. %3Cscript).
    • Prevent unauthenticated or low‑privilege users from accessing sensitive admin endpoints.
  6. Review and clean any detected injections
    • If you find injected scripts in the database, remove them carefully.
    • Consider restoring from a clean backup if you cannot confidently remove all malicious entries.
    • Rotate API keys and credentials stored in options after cleaning.

Detection: how to find signs of exploitation

Look for the following indicators:

  • New or modified administrator user accounts you did not create
  • Unexpected changes in plugin or theme files
  • Recent modifications to the site’s wp_options table entries linked to the translator plugin
  • HTML containing