CVE-2026-3231 in Checkout Field Editor for WooCommerce Plugin
摘要
由 VulDB • 2026-06-02
WooCommerce 插件 for WordPress 的 Checkout Field Editor(Checkout Manager)存在存储型跨站脚本漏洞(Stored Cross-Site Scripting),该漏洞存在于所有 2.1.7 及更早版本中。攻击者可通过 WooCommerce Block Checkout Store API 提交自定义的 radio 和 checkboxgroup 字段值来利用此漏洞。问题根源在于 `class-thwcfd-block-order-data.php` 中的 `prepare_single_field_data()` 方法首先使用 `esc_html()` 对值进行转义,随后立即对 radio 和 checkboxgroup 字段类型使用 `html_entity_decode()` 撤销转义;同时,`get_allowed_html()` 中的 `wp_kses()` 允许列表过于宽松,明确允许带有 `onchange` 事件处理程序属性的 `<select>` 元素。这使得未经身份验证的攻击者能够通过 Store API 结账端点注入任意 Web 脚本,当管理员查看订单详情页面时,这些脚本将得以执行。
If you want to get best quality of vulnerability data, you may have to visit VulDB.