Inquiry form to posts or pages <= 1.0 - 通过'inq_header'参数进行跨站请求伪造到存储型跨站脚本攻击

该XSS漏洞允许攻击者通过CSRF攻击，在Inquiry Form to Posts or Pages插件的设置中注入恶意JavaScript代码。一旦注入，这些脚本将在用户访问受影响的页面或提交表单时执行。攻击者可以利用此漏洞窃取用户的敏感信息，例如Cookie和会话令牌，从而冒充用户执行各种操作。此外，攻击者还可以利用此漏洞重定向用户到恶意网站，或在网站上显示虚假信息，从而破坏网站的声誉和用户信任。由于该漏洞是存储型XSS，攻击者无需直接与受害者交互，只需诱使用户访问包含恶意脚本的页面即可。

Websites using the Inquiry Form to Posts or Pages plugin, particularly those running WordPress versions that haven't been regularly updated, are at risk. Shared hosting environments where plugin updates are managed by the hosting provider are also at increased risk, as users may not have direct control over plugin versions.

• wordpress / composer / npm:

grep -r "$_POST['inq_hidden'] == 'Y'" /var/www/wordpress/wp-content/plugins/inquiry-form-to-posts-or-pages/

• wordpress / composer / npm:

wp plugin list --status=inactive | grep 'inquiry-form-to-posts-or-pages'

• wordpress / composer / npm:

wp plugin list | grep 'inquiry-form-to-posts-or-pages'

1. 2026-04-15Disclosure

   disclosure

1. 已保留2026-04-14
2. 发布日期2026-04-15
3. 修改日期2026-04-16
4. EPSS 更新日期2026-04-22

为了缓解CVE-2026-6293漏洞，首要措施是立即更新Inquiry Form to Posts or Pages插件到最新版本，该版本应包含修复此漏洞的补丁。如果无法立即更新，可以考虑禁用插件，或限制对插件设置的访问权限。此外，可以使用Web应用防火墙（WAF）来检测和阻止CSRF攻击。在插件代码层面，应加强输入验证和输出编码，确保所有用户输入都经过适当的 sanitization，并且在渲染输出时进行适当的 escaping，以防止XSS攻击。务必在更新后，检查插件设置，确认没有恶意脚本残留。

活跃安装数

10

插件评分