漏洞概述 该漏洞是一个存储型跨站脚本(XSS)漏洞,存在于Contact Lookup工具中。具体而言,从Mailchimp返回的订阅者合并字段值在禁用前未被正确转义,导致这些值在发送给Mailchimp之前被转义。 影响范围 受影响插件:contact-form-7-mailchimp-extension 受影响版本:所有版本 漏洞类型:存储型跨站脚本(XSS) 漏洞编号:CVE-2026-15000 修复方案 修复版本:0.9.78.07 修复内容:对从Mailchimp返回的订阅者合并字段值进行转义处理,确保在发送给Mailchimp之前这些值被正确转义。 POC代码 以下是修复前后的代码对比: 修复前 修复后 其他信息 报告者:通过Wordfence报告 报告时间:2026年 插件作者:Renee Johnson 插件描述:Contact Form 7与Mailchimp的集成,自动同步提交到邮件列表 总结 该漏洞通过存储型XSS攻击,可能导致恶意脚本在用户浏览器中执行,从而窃取用户数据或进行其他恶意操作。建议用户尽快升级到修复版本0.9.78.07以解决此安全问题。