SysBasics Customize My Account for WooCommerce 存储型XSS漏洞(CVE-2026-12136)公告

漏洞概述 漏洞名称: SysBasics Customize My Account for WooCommerce <= 4.3.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via Shortcode Attributes CVE ID: CVE-2026-12136 CVSS 评分: 6.4 (Medium) 发布日期: June 17, 2026 最后更新日期: June 18, 2026 研究人员: Chloe Chamberland - Wordfence PRISM 影响范围 软件类型: Plugin 软件 Slug: customize-my-account-for-woocommerce 受影响版本: <= 4.3.6 修复版本: 4.3.7 修复方案 修复措施: 更新到版本 4.3.7 或更新的已修复版本 漏洞描述 该漏洞存在于 Customize My Account for WooCommerce 插件中，具体是由于对 短代码的用户输入处理不当，导致存储型跨站脚本攻击（Stored Cross-Site Scripting）。攻击者可以通过构造恶意输入，在用户访问受感染页面时执行任意脚本。 参考链接 plugins.trac.wordpress.org plugins.trac.wordpress.org plugins.trac.wordpress.org plugins.trac.wordpress.org 其他相关漏洞 1. SysBasics Customize My Account for WooCommerce <= 4.3.6 - Reflected Cross-Site Scripting via tab Parameter - CVE ID: CVE-2026-12137 - CVSS 评分: 6.1 - 研究人员: Chloe Chamberland, PRISM - 发布日期: June 17, 2026 2. SysBasics Customize My Account for WooCommerce <= 2.8.22 - Reflected Cross-Site Scripting - CVE ID: CVE-2025-24592 - CVSS 评分: 6.1 - 研究人员: Le Ngoc Anh - 发布日期: December 21, 2024 3. SysBasics Customize My Account for WooCommerce <= 2.7.29 - Reflected Cross-Site Scripting via tab Parameter - CVE ID: CVE-2024-10837 - CVSS 评分: 6.1 - 研究人员: vgo0 - 发布日期: November 9, 2024 4. Customize My Account for WooCommerce <= 1.8.3 - Cross-Site Request Forgery via restore_my_account_tabs - CVE ID: CVE-2023-51369 - CVSS 评分: 4.3 - 研究人员: thernv - 发布日期: December 26, 2023 总结 该漏洞涉及存储型跨站脚本攻击，影响 SysBasics Customize My Account for WooCommerce 插件的 <= 4.3.6 版本。建议用户尽快更新至 4.3.7 或更高版本以修复此漏洞。

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

SysBasics Customize My Account for WooCommerce 存储型XSS漏洞(CVE-2026-12136)公告

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

SysBasics Customize My Account for WooCommerce 存储型XSS漏洞(CVE-2026-12136)公告

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！