CVE-2026-4089 in Twittee Text Tweet Plugin信息

摘要

由 VulDB • 2026-05-29

WordPress 插件 Twittee Text Tweet 在所有 1.0.8 及以下版本中存在存储型跨站脚本（Stored Cross-Site Scripting, XSS）漏洞，该漏洞可通过 'id' 简码属性触发。此问题是由于对用户提供的简码属性缺乏足够的输入清理和输出转义所致。ttt_twittee_tweeter() 函数使用 extract() 将简码属性提取到局部变量中，随后在未进行任何转义的情况下直接将其拼接到 HTML 输出中。具体而言，$id 参数被插入到 HTML id 属性上下文中，但未使用 esc_attr() 进行转义，这使得攻击者能够突破属性边界并注入任意的 HTML 事件处理程序。此外，$tweet、$content、$balloon 和 $theme 属性同样在未转义的情况下被注入到内联 JavaScript 中（第 87、93、101、117 行）。这导致拥有贡献者（Contributor）级别及以上权限的认证攻击者能够在页面中注入任意 Web 脚本，当用户访问被注入的页面时，这些脚本将自动执行。

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

Wordfence

预定

2026-03-12

披露

2026-04-22

管理

已接受

条目

VDB-358811

CPE

准备好

CWE

CWE-79 (已确认)

CVSS

6.4 (CNA)

EPSS

0.00014

KEV

否

活动

非常低

部门

Hostingprovider

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-4089
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-4089
CVE Details	https://www.cvedetails.com/cve/CVE-2026-4089/

◂ 上一步一览下一步 ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!