平台
wordpress
组件
noo-citilights
修复版本
3.7.2
CVE-2026-24973描述了NooTheme CitiLights WordPress主题中的一个跨站脚本攻击(XSS)漏洞。该漏洞允许攻击者通过恶意脚本注入来执行代码,可能导致敏感信息泄露或会话劫持。此问题影响CitiLights WordPress主题的0.0.0到3.7.1版本。已发布安全补丁,建议用户尽快升级到3.7.2版本。
该XSS漏洞允许攻击者在受感染的CitiLights WordPress网站上注入恶意JavaScript代码。攻击者可以利用此漏洞窃取用户的Cookie和会话令牌,从而冒充用户执行操作。此外,攻击者还可以利用此漏洞重定向用户到恶意网站,或在网站上显示虚假信息。由于WordPress的广泛使用,该漏洞的潜在影响非常大,可能影响大量网站和用户。攻击者可以利用此漏洞进行钓鱼攻击,窃取用户凭据,或破坏网站的完整性。
该漏洞已公开披露,存在公开的PoC代码。目前尚无关于该漏洞被大规模利用的报告,但由于XSS漏洞的普遍性,建议尽快采取缓解措施。该漏洞已添加到CISA KEV目录中,表明其潜在风险较高。建议密切关注安全社区的动态,并及时更新安全信息。
Websites using the CitiLights WordPress theme, particularly those with user-generated content or forms that accept user input without proper sanitization, are at risk. Shared hosting environments where multiple websites share the same server resources are also potentially affected, as a compromise of one site could lead to the compromise of others.
• wordpress / composer / npm:
grep -r "noo-citilights" /var/www/html/wp-content/themes/• wordpress / composer / npm:
wp plugin list | grep citilights• wordpress / composer / npm:
curl -I <vulnerable_url_with_payload> | grep -i content-security-policydisclosure
漏洞利用状态
EPSS
0.04% (11% 百分位)
CISA SSVC
CVSS 向量
缓解此漏洞的首要措施是立即将CitiLights WordPress主题升级到3.7.2或更高版本。如果无法立即升级,可以考虑使用Web应用程序防火墙(WAF)来过滤恶意输入,并阻止XSS攻击。此外,还可以对输入进行严格的验证和清理,以防止恶意代码注入。在升级后,请检查网站日志,确认是否存在可疑活动,并验证漏洞是否已成功修复。
更新到 3.7.2 版本,或更新的修复版本
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-24973描述了NooTheme CitiLights WordPress主题中的一个跨站脚本攻击(XSS)漏洞,攻击者可以注入恶意脚本。
如果您的网站使用了CitiLights WordPress主题的版本在0.0.0到3.7.1之间,则可能受到影响。
请立即将CitiLights WordPress主题升级到3.7.2或更高版本。
目前尚无关于该漏洞被大规模利用的报告,但建议尽快采取缓解措施。
请访问NooTheme官方网站或WordPress插件目录,查找关于CVE-2026-24973的公告。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。