WordPress Contact Form to Email 1.3.24 存储型 XSS 漏洞总结 漏洞概述 漏洞名称:WordPress Contact Form to Email 1.3.24 存储型跨站脚本(Stored XSS) 严重性:中等(Medium) 发布日期:2026年5月10日 CVE 编号:CVE-2021-47926 CVSS 向量:CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:R/PVC:N/VI:N/VA:N/SC:L/SI:L/SA:N 描述: 该漏洞存在于 WordPress 插件 “Contact Form to Email” 版本 ≤ 1.3.24 中。攻击者可通过构造包含 JavaScript 代码的表单名称字段,将恶意脚本注入到表单管理页面。当其他已登录用户访问该页面时,脚本将在其浏览器中执行,可能导致会话劫持或凭证窃取。 影响范围 受影响产品:WordPress 插件 “Contact Form to Email” 受影响版本:≤ 1.3.24 攻击条件: - 攻击者需能创建或编辑表单(通常需登录后台) - 其他已认证用户访问表单管理页面 潜在危害: - 会话劫持 - 凭证窃取 - 恶意脚本执行 修复方案 升级插件:将 “Contact Form to Email” 插件升级至高于 1.3.24 的版本。 参考链接: - ExploitDB: EDB-50524 - 官方产品主页:Contact Form to Email > 注:页面未提供 POC 或 exploit 代码块。