1.9.8
CVE-2026-2602 描述了 WordPress Twentig 插件中的一个存储型 XSS 漏洞。该漏洞允许具有 Contributor 级别及以上权限的攻击者注入恶意脚本,这些脚本将在用户访问受影响页面时执行。受影响的版本包括 1.9.7 及以下。该问题已在 2.0 版本中得到修复,建议用户尽快升级。
CVE-2026-2602 漏洞影响 Twentig Supercharged Block Editor 插件的 1.9.7 及更早版本。它允许具有贡献者级别或更高权限的经过身份验证的攻击者将任意 Web 脚本注入到 WordPress 页面中。这些脚本将在任何用户访问注入页面时执行,从而可能导致敏感信息被盗、网站内容被篡改或将用户重定向到恶意网站。CVSS 分数为 6.4,表明存在中等风险,需要及时关注以防止潜在攻击。'featuredImageSizeWidth' 参数缺乏适当的输入验证是此漏洞的主要原因。
具有贡献者或更高权限的攻击者可以通过将恶意 JavaScript 代码注入到页面的 'featuredImageSizeWidth' 字段中来利用此漏洞。此代码将存储在数据库中,并在任何访问该页面的用户的浏览器中执行,无论其权限如何。漏洞的易于利用性,以及影响整个网站用户群的可能性,使此漏洞成为重大的风险。攻击者可以使用此技术来窃取会话 cookie、将用户重定向到网络钓鱼网站,甚至控制整个网站。
漏洞利用状态
EPSS
0.03% (9% 百分位)
CISA SSVC
CVSS 向量
建议的解决方案是将 Twentig Supercharged Block Editor 插件更新到 2.0 或更高版本,其中包含 CVE-2026-2602 的安全修复。如果无法立即更新,请限制具有贡献者级别或更高权限的用户的访问权限,限制他们编辑页面的能力。实施 Web 应用程序防火墙 (WAF) 还可以帮助检测和阻止恶意脚本注入尝试。定期对网站进行安全审计对于识别和减轻潜在漏洞至关重要。
更新到版本 2.0 或更新的已修复版本
漏洞分析和关键警报直接发送到您的邮箱。
在 WordPress 中,“贡献者”角色拥有撰写和发布帖子的权限,但不能安装插件或主题,也不能修改网站设置。
在 WordPress 管理面板中,转到“插件”,然后搜索“Twentig Supercharged Block Editor”。插件版本将显示在插件名称下方。
WAF(Web Application Firewall)是一种保护 Web 应用程序免受攻击的安全工具。有多种 WAF 可用,既可以作为 WordPress 插件,也可以作为基于云的服务。研究 Wordfence、Sucuri 或 Cloudflare 等选项。
虽然这可能会降低风险,但它不是一个完整的解决方案。升级到 2.0 或更高版本是解决漏洞的最安全方法。
如果您怀疑您的网站已被入侵,请立即更改所有管理员密码、扫描您的网站是否存在恶意软件,并恢复网站的干净备份。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。
上传你的依赖文件,立即了解此CVE和其他CVE是否影响你。