| 插件名称 | WordPress支付页面插件 |
|---|---|
| 漏洞类型 | 跨站脚本攻击 |
| CVE 编号 | CVE-2026-0751 |
| 紧急程度 | 中等 |
| CVE 发布日期 | 2026-02-13 |
| 来源网址 | CVE-2026-0751 |
CVE-2026-0751:深入分析 — 在支付页面插件中的经过身份验证(作者)存储型XSS
更新(2026年2月13日): 影响支付页面(Stripe支付表单)WordPress插件(版本≤1.4.6)的存储型跨站脚本(XSS)漏洞已被披露。该缺陷允许具有作者权限的经过身份验证的用户通过参数 pricing_plan_select_text_font_family 保存内容,该内容随后在没有足够清理或转义的情况下呈现给访客。以下是我在为香港网站所有者和安全团队提供建议时所使用的简洁务实的语气撰写的技术分析、影响评估、检测指导和实际缓解措施。.
执行摘要
- 软件:支付页面(Stripe支付表单)WordPress插件
- 易受攻击的版本:≤1.4.6
- 漏洞:通过存储型跨站脚本(XSS)
pricing_plan_select_text_font_family - CVE:CVE-2026-0751
- 所需权限: 作者 (经过身份验证)
- CVSS(报告):~5.9(中等)— 需要经过身份验证的作者和一些用户交互
- 报告者:Athiwat Tiprasaharn(Jitlada)— 发布于2026年2月13日
摘要:经过身份验证的作者可以提供一个恶意值,旨在用于插件存储的字体参数,并在没有适当验证/转义的情况下输出给网站访客。存储的特性意味着许多访客可能受到影响;后果从用户界面篡改和网络钓鱼到会话盗窃,具体取决于网站上下文。.
这为什么重要:支付用户界面的存储型XSS
支付和定价接口是网站上的高信任区域。这些组件中的存储型XSS尤其危险,因为:
- JavaScript executes in the site’s origin — attackers may access cookies, perform actions as users, or intercept form inputs if same‑origin policies permit.
- 注入的用户界面可能误导访客(网络钓鱼或欺诈提示),并造成财务或声誉损害。.
- 存储的有效负载会持续存在并影响每个查看受感染页面的访客,从而放大影响。.
在香港和其他活跃的电子商务和支付活动的司法管辖区,声誉和监管后果使得及时缓解变得至关重要。.
漏洞的技术摘要
- 入口点: 参数
pricing_plan_select_text_font_family, ,用于字体选择或标签文本。. - 弱点: 插件接受并存储输入,随后在HTML中渲染时未进行上下文感知的转义或严格验证。.
- 攻击向量: 经过身份验证的用户(作者角色或更高)通过插件UI或设置注入恶意内容。当访客加载页面时,存储的内容被渲染并执行。.
- 结果: stored XSS — arbitrary JavaScript execution in visitors’ browsers.
根本原因似乎是缺乏对预期为普通字体名称的值的验证/白名单,以及在输出时未进行转义。安全的方法是将字体列入白名单,并确保所有存储的值以普通文本或安全转义的方式渲染。.
谁在面临风险?
- 运行支付页面(Stripe的支付表单)插件版本≤ 1.4.6的网站。.
- 授予作者(或等效角色)编辑定价设置或插件UI权限的网站。.
- 多作者博客、会员网站、编辑平台,以及任何第三方可以修改显示内容的网站。.
如果作者受到严格控制并经过全面审查,立即风险较低;如果账户被共享、重复使用或由外部承包商管理,风险增加。.
可利用性和影响评估
可利用性: 中等 — 攻击者需要一个经过身份验证的作者账户。没有指示未经过身份验证的远程利用。.
影响: 可变。可能的结果包括:
- 低至中等:UI篡改、重定向、烦扰脚本。.
- 高:会话盗窃、凭证收集、当表单共享来源时捕获支付或个人数据,或分发恶意负载。.
由于漏洞是存储的,单次注入可能会随着时间的推移危害许多访客。.
