Stored XSS in WordPress iWR Tooltip <= 1.0 via Shortcode Attributes (CVE-2026-8894)

漏洞概述 漏洞名称: iWR Tooltip <= 1.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes CVE编号: CVE-2026-8894 CVSS评分: 6.4 (Medium) 发布日期: May 26, 2026 最后更新日期: May 27, 2026 研究人员: Muhammad Yodha - DJ 影响范围 软件类型: Plugin 软件名称: iwr-tooltip 受影响版本: <= 1.0 修复状态: 无已知补丁 修复方案 建议措施: 请详细审查漏洞详情，并根据您组织的安全风险容忍度采取缓解措施。可能需要卸载受影响的软件并寻找替代品。 漏洞描述 iWR Tooltip插件在版本1.0及之前存在存储型跨站脚本（XSS）漏洞。该漏洞是由于在 短代码处理程序中对用户提供的属性缺乏足够的输入清理和输出转义，导致 属性直接拼接到HTML属性中（未进行转义）。这使得具有贡献者及以上权限的攻击者可以在页面中注入任意Web脚本，当用户访问被注入的页面时，这些脚本将执行。 参考链接 plugins.trac.wordpress.org plugins.trac.wordpress.org 其他信息 许可证: 本记录包含受版权保护的材料，具体版权信息见页面底部。 业务时间: 9am-8pm ET, 6am-5pm PT 和 2pm-1am UTC/GMT（不包括周末和节假日）。 支持: 响应客户24小时支持，全年365天，1小时响应时间。 总结 iWR Tooltip插件存在存储型跨站脚本漏洞，影响版本1.0及之前。建议用户尽快审查漏洞详情并采取相应措施，如卸载受影响的软件或寻找替代品。

目標達成すべての支援者に感謝 — 100%達成しました！

Stored XSS in WordPress iWR Tooltip <= 1.0 via Shortcode Attributes (CVE-2026-8894)

このソースからの他の記事

目標達成 すべての支援者に感謝 — 100%達成しました！

Stored XSS in WordPress iWR Tooltip <= 1.0 via Shortcode Attributes (CVE-2026-8894)

このソースからの他の記事

目標達成すべての支援者に感謝 — 100%達成しました！