免费扫描
分析待定CVE-2026-2396

CVE-2026-2396: XSS in List View Google Calendar

平台

wordpress

组件

list-view-google-calendar

修复版本

7.4.4

在NVD查看
保存

CVE-2026-2396 描述了 WordPress 插件 List View Google Calendar 中的存储型跨站脚本攻击 (XSS) 漏洞。攻击者可以通过在事件描述中注入恶意脚本,并在受影响的页面被访问时执行这些脚本。此漏洞影响所有版本,包括 7.4.3 及更早版本,但仅限于多站点安装和已禁用 unfiltered_html 的安装。建议尽快升级至 7.4.4 版本以修复此安全问题。

WordPress

检测此 CVE 是否影响你的项目

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描

影响与攻击场景

该 XSS 漏洞允许具有管理员权限的攻击者在 List View Google Calendar 插件中注入任意 Web 脚本。攻击者可以利用此漏洞窃取用户 Cookie、重定向用户到恶意网站、或修改页面内容。由于漏洞存在于事件描述中,攻击者可以通过创建包含恶意脚本的事件,并在其他用户查看该事件时触发攻击。在多站点环境中,攻击者可能能够影响多个站点。如果 unfiltered_html 处于启用状态,则攻击的影响范围会更大,因为攻击者可以注入更复杂的脚本。

利用背景

目前尚未公开发现针对 CVE-2026-2396 的公开利用代码 (POC)。该漏洞的 CVSS 评分为中等,表明其存在一定程度的风险。CISA 和 NVD 已于 2026 年 4 月 14 日发布了相关信息。由于该漏洞需要管理员权限,因此攻击难度相对较高,但如果攻击者能够获取管理员凭据,则可能造成严重损害。

威胁情报

漏洞利用状态

概念验证未知
CISA KEVNO
互联网暴露

EPSS

0.03% (10% 百分位)

CVSS 向量

威胁情报· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N4.4MEDIUMAttack VectorNetwork攻击者如何到达目标Attack ComplexityHigh利用漏洞所需的条件Privileges RequiredHigh攻击所需的认证级别User InteractionNone是否需要受害者采取行动ScopeChanged超出受影响组件的影响范围ConfidentialityLow敏感数据泄露风险IntegrityLow数据未授权篡改风险AvailabilityNone服务中断风险nextguardhq.com · CVSS v3.1 基础分数
这些指标意味着什么?
Attack Vector
网络 — 可通过互联网远程利用,无需物理或本地访问。攻击面最大。
Attack Complexity
高 — 需要竞态条件、非默认配置或特定情况。难以可靠利用。
Privileges Required
高 — 需要管理员或特权账户。
User Interaction
无 — 攻击自动且无声,受害者无需任何操作。
Scope
已改变 — 攻击可以超出脆弱组件,影响其他系统。
Confidentiality
低 — 可访问部分数据。
Integrity
低 — 攻击者可修改部分数据,影响有限。
Availability
无 — 无可用性影响。

受影响的软件

组件list-view-google-calendar
供应商wordfence
最低版本0.0.0
最高版本7.4.3
修复版本7.4.4

弱点分类 (CWE)

CWE-79

时间线

  1. 发布日期
  2. 修改日期
  3. EPSS 更新日期

缓解措施和替代方案

最有效的缓解措施是立即将 List View Google Calendar 插件升级至 7.4.4 或更高版本。如果升级会导致网站中断,可以考虑回滚到之前的版本,但请注意这只是临时解决方案。此外,可以配置 Web 应用防火墙 (WAF) 或代理服务器,以过滤包含可疑脚本的事件描述。禁用 unfiltered_html 也可以降低风险,但可能会影响插件的功能。在升级后,请检查插件的日志,以确保没有恶意脚本被注入。

修复方法

更新到版本7.4.4或更高版本。

常见问题

什么是 CVE-2026-2396 — 存储型 XSS 在 List View Google Calendar 中?

CVE-2026-2396 是 WordPress 插件 List View Google Calendar 中的一个存储型跨站脚本攻击 (XSS) 漏洞,允许攻击者通过事件描述注入恶意脚本,危害用户数据安全。

我是否受到 CVE-2026-2396 在 List View Google Calendar 中影响?

如果您使用 List View Google Calendar 插件,并且版本低于 7.4.4,则可能受到影响。特别是多站点安装和已禁用 unfiltered_html 的安装。

如何修复 CVE-2026-2396 在 List View Google Calendar 中?

立即将 List View Google Calendar 插件升级至 7.4.4 或更高版本。如果升级导致问题,可以考虑回滚,但请注意这只是临时解决方案。

CVE-2026-2396 是否正在被积极利用?

目前尚未公开发现针对 CVE-2026-2396 的公开利用代码,但该漏洞存在一定程度的风险。

在哪里可以找到 List View Google Calendar 官方针对 CVE-2026-2396 的公告?

请访问 List View Google Calendar 插件的官方网站或 WordPress 插件目录,查找有关 CVE-2026-2396 的安全公告。

你的项目受影响吗?

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描搜索 CVE
WordPress

检测此 CVE 是否影响你的项目

上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。

免费扫描
live免费扫描

立即扫描您的WordPress项目 — 无需账户

上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始:拥有账户后,您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。

手动扫描Slack/邮件提醒持续监控白标报告

拖放您的依赖文件

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...