WWordPress 漏洞数据库

香港 NGO 警报 WordPress 幻灯片中的 XSS (CVE20261885)

WordPress幻灯片Wp插件中的跨站脚本攻击(XSS)
0
分享
0
0
0
0





CVE-2026-1885: Authenticated Contributor Stored XSS in Slideshow Wp (<= 1.1) — What WordPress Site Owners Need to Know



插件名称 幻灯片Wp
漏洞类型 跨站脚本攻击(XSS)
CVE 编号 CVE-2026-1885
紧急程度
CVE 发布日期 2026-02-12
来源网址 CVE-2026-1885

1. CVE-2026-1885:Slideshow Wp 中的认证贡献者存储型 XSS(版本 <= 1.1)— WordPress 网站所有者需要知道的事项2. 发布日期:2026-02-12 · 作者:香港安全专家 · 标签:WordPress, XSS, CVE-2026-1885, WAF, 插件安全

3. TL;DR — 在 Slideshow Wp WordPress 插件(版本 <= 1.1)中披露了一个存储型跨站脚本(XSS)漏洞(CVE-2026-1885)。具有贡献者权限的认证用户可以通过短代码属性注入恶意负载

TL;DR — A stored cross-site scripting (XSS) vulnerability (CVE-2026-1885) was disclosed in the Slideshow Wp WordPress plugin (versions <= 1.1). An authenticated user with Contributor privileges can inject a malicious payload via the shortcode attribute sswpid 5. 短代码中。负载被存储并在稍后呈现给网站访问者,可能导致会话盗窃、内容操纵或其他客户端攻击。如果您运行此插件并且无法立即更新或删除它,请应用本指南中的缓解措施和 WAF 规则以降低风险。 sswp-slide 6. 2026年2月10日,影响 Slideshow Wp(<= 1.1)的存储型 XSS 漏洞被公开记录(CVE-2026-1885)。根本原因是对插件的.

执行摘要

On 10 Feb 2026 a stored XSS vulnerability affecting Slideshow Wp (<= 1.1) was publicly documented (CVE-2026-1885). The root cause is insufficient sanitization and/or escaping of the sswpid attribute on the plugin’s sswp-slide 9. 受影响的版本:≤ 1.1.

  • 漏洞:存储型跨站脚本攻击 (XSS)
  • 10. CVE:CVE-2026-1885
  • 11. 本分析解释了该问题的重要性、利用场景、检测步骤、立即缓解措施(包括 WAF/虚拟补丁建议)、开发者修复以及来自香港安全从业者的事件响应建议。
  • 12. 存储型 XSS 特别危险,因为攻击者持久化一个负载,该负载在查看受影响页面的访问者的浏览器中执行。这个漏洞的重要性体现在几个方面:
  • 所需权限:贡献者(已认证)
  • CVSS(报告):6.5(中等)
  • Reported by: Muhammad Yudha – DJ

13. 在多作者网站和社区博客中,贡献者访问是很常见的。贡献者可以创建/编辑可能被编辑者发布或预览的内容,这可能使特权用户暴露于注入的负载中。.

为什么这个漏洞很重要

14. 属性被设计为标识符。如果没有经过验证(例如强制为整数)并且在输出时没有转义,它就成为一个注入点。

  • 15. 存储型 XSS 可用于窃取 cookies、外泄数据、篡改内容、显示钓鱼表单,或在查看内容的高权限用户的上下文中执行客户端操作。.
  • sswpid 16. 即使在某些评分系统中被归类为低/中等,存储型 XSS 也必须被认真对待,因为影响是环境依赖的(网站配置、用户角色、CSP、监控)。.
  • 17. 技术描述(发生了什么).

18. 该插件注册了一个名为.

技术描述(发生了什么)

  • 插件注册了一个名为的短代码 sswp-slide. 一个属性是 sswpid, ,可能用作标识符。.
  • 当包含短代码的内容被保存时, sswpid 的值在没有足够输入清理的情况下被存储。.
  • 在渲染时,插件将属性值输出到HTML中,而没有对属性或HTML上下文进行适当的转义。.
  • 因为用户提供的字符没有被中和,贡献者可以提供在页面渲染时执行的标记或脚本——经典的存储型XSS。.

典型的不安全模式包括回显原始属性值(例如,, echo $atts['sswpid'];),未能验证类型(未强制整数ID),以及未使用转义函数,例如 esc_attr()esc_html().

利用场景

  1. 贡献者账户滥用:
    拥有贡献者账户的攻击者插入类似于:

    [sswp-slide sswpid="1">]

    当访客加载该帖子时,脚本执行。.

  2. 社会工程针对编辑/管理员:
    贡献者提交包含恶意短代码的内容进行审核;预览或发布内容的编辑/管理员可能会执行有效载荷,从而启用升级链。.
  3. 大规模分发:
    如果放置在主页或热门页面上,有效载荷会影响许多访客。.

如何检测您的网站是否受到影响

  1. 检查插件版本: WordPress管理员 → 插件并确认Slideshow Wp版本。将≤ 1.1视为潜在漏洞。.
  2. 在内容中搜索短代码: 在数据库中,搜索 wp_posts.post_content 的出现次数 sswp-slidesswpid. 
    选择 ID, post_title, post_type;
  3. 检查属性值: 寻找 sswpid 包含超出预期数字模式的字符的值,例如 <, >, script, javascript 的 POST/PUT 有效负载到插件端点:, ,百分比编码如 %3C, ,或事件处理程序,如 onerror=.
  4. 扫描渲染输出: 访问包含幻灯片的页面并查看页面源以查找未转义的