| 插件名称 | Prisna GWT – 谷歌网站翻译器 |
|---|---|
| 漏洞类型 | 跨站脚本攻击(XSS) |
| CVE 编号 | CVE-2024-12680 |
| 紧急程度 | 低 |
| CVE 发布日期 | 2026-01-30 |
| 来源网址 | CVE-2024-12680 |
CVE-2024-12680:Prisna GWT – 谷歌网站翻译器中的管理员存储型XSS(≤ 1.4.13)——WordPress网站所有者需要知道的事项
作者: 香港安全专家 · 日期: 2026-01-30
TL;DR — 一个存储型跨站脚本(XSS)漏洞(CVE‑2024‑12680)影响版本低于1.4.14的Prisna GWT – 谷歌网站翻译器插件。利用该漏洞需要经过身份验证的管理员进行交互(需要用户交互),但可能导致在管理员上下文中执行脚本。请立即更新到1.4.14,审计数据库以查找注入的脚本,并应用临时缓解措施,包括WAF规则和管理员账户加固。.
概述
On 30 January 2026 a stored Cross‑Site Scripting (XSS) vulnerability affecting the WordPress plugin “Prisna GWT – Google Website Translator” (versions < 1.4.14) was published and assigned CVE‑2024‑12680. The vulnerability is classified as an “Admin+ Stored XSS” — meaning a privileged account (administrator) can be targeted, and a malicious payload saved in plugin data will execute in the browser when certain admin pages or UI elements are viewed or interacted with.
Although the vulnerability’s base severity is moderate (CVSS 5.9), the practical risk is limited by the required privileges and user interaction. However, stored admin‑side XSS can enable post‑exploitation actions such as:
- 注入管理JavaScript以促进持久性(例如,更改站点选项或引入后门)
- 偷取管理员的cookie或身份验证令牌(会话接管)
- 在与其他缺陷链式结合时触发进一步的自动化攻击或横向移动
- 注入恶意管理员UI元素以钓取凭据或引入恶意重定向
本指南从香港安全从业者的角度解释了该问题、安全检测步骤、缓解选项和恢复指导。.
What exactly is an “Admin Stored XSS”?
Stored XSS occurs when user-supplied data is stored on the server and later rendered to users without proper sanitization or encoding. In an “Admin Stored XSS” case:
- 有效载荷由攻击者(或被攻陷的管理员账户)存储在插件选项、管理员设置或其他服务器端存储中。.
- 当另一位管理员(或同一管理员执行常规任务)打开插件管理员页面时,存储的脚本在他们的浏览器上下文中执行。.
- 由于这在管理员的浏览器中执行,并且具有该用户的权限,因此可以执行用户通过UI可以执行的任何操作——包括更改设置、编辑主题/插件文件、创建新用户等。.
在本报告中,插件接受的管理员输入在输出到管理员UI之前未经过充分清理或转义。.
范围和受影响版本
- 受影响的插件:Prisna GWT – 谷歌网站翻译器
- Affected versions: any version older than 1.4.14 (< 1.4.14)
- 修复版本:1.4.14
- CVE:CVE‑2024‑12680
- 所需权限:管理员
- 用户交互:需要(管理员必须查看/点击一个精心制作的页面或链接)
- OWASP 分类:A3 — 注入(跨站脚本攻击)
- 补丁优先级:低(但仍建议尽快推出)
为什么你仍然应该关心(即使需要管理员访问权限)
许多网站被攻陷始于管理员凭证被盗或社会工程学攻击。攻击者可以通过网络钓鱼、重复使用的密码或被攻陷的开发者工具获取管理员凭证。存储在管理员用户界面中的 XSS 吸引人,因为它允许攻击者:
- 将单个被攻陷的管理员会话转变为通过代码注入或配置更改的持久控制
- Circumvent server‑side protections by manipulating the admin’s browser (client‑side persistence)
- 使用社会工程学欺骗管理员加载一个精心制作的 URL 或打开特定的设置页面
因此,尽管需要特权,但下游影响可能是严重的。.
高级利用流程(不可操作)
注意:未提供利用代码或逐步武器化说明。.
- 一个特权用户被欺骗访问一个精心制作的管理员 URL 或与恶意输入表单互动。.
- 攻击者使用插件设置或选项字段存储包含 JavaScript 的有效负载。.
- 当管理员打开相关的插件管理员页面时,浏览器执行存储的脚本。.
- The script acts in the context of the admin’s authenticated session — changing options, adding users, exfiltrating tokens, etc.
立即修复的方法是移除易受攻击的输出路径或更新到修补过的插件。.
立即行动(现在该做什么)
如果你运行安装了此插件的 WordPress 网站,请立即采取以下步骤:
- 立即更新
- 尽快在生产、预发布和开发环境中将插件更新到版本 1.4.14(或更高版本)。.
- 如果未启用自动更新,请安排更新并尽可能集中更新。.
- 如果您无法立即更新,请禁用该插件
- 暂时停用插件,直到可以更新为止。这将移除存储有效负载可以执行的易受攻击的管理员 UI 输出。.
- 审核管理员账户和会话
- 强制所有管理员账户重置密码。.
- 使所有活动会话失效(使用会话管理工具或可用的 WP‑CLI)。.
- 为所有管理员启用双因素身份验证 (2FA)。.
- 扫描注入的脚本内容
- Search the database for suspicious strings commonly associated with XSS:
- Check plugin-specific options (wp_options rows with option_name matching the plugin’s keys), plus post_meta and term_meta areas the plugin may use.
- Run searches on a staging copy to avoid accidental changes to production data.
- Search the database for suspicious strings commonly associated with XSS:
- Use a Web Application Firewall (WAF) to create temporary protections
- Add WAF rules to block admin POST requests that contain script tags or dangerous attributes.
- Block requests with javascript: URIs or encoded script sequences (e.g. %3Cscript).
- Prevent unauthenticated or low‑privilege users from accessing sensitive admin endpoints.
- Review and clean any detected injections
- If you find injected scripts in the database, remove them carefully.
- Consider restoring from a clean backup if you cannot confidently remove all malicious entries.
- Rotate API keys and credentials stored in options after cleaning.
Detection: how to find signs of exploitation
Look for the following indicators:
