目录
2026 年 6 月 5 日,国家信息安全漏洞共享平台(cnvd)收录了 wordpress 插件 auto thumbnail 的一个跨站脚本漏洞(cve-2026-8899)。该插件用于自动生成文章缩略图,安装量超过 2 万次。漏洞源于
athn_thumbnails函数在处理短代码的width和height属性时未进行充分的输入清理和输出转义,直接将用户输入拼接至 html标签。攻击者可利用该漏洞在页面中注入任意 web 脚本,导致管理员 cookie 被盗、网站被篡改等风险。目前官方尚未发布修复补丁,建议使用该插件的 wordpress 用户立即停用,或部署 web 应用防火墙进行临时防护。

一、 漏洞核心信息
| 项目 | 详情 |
|---|---|
| cnvd 编号 | cnvd-2026-22803 |
| cve 编号 | cve-2026-8899 |
| 公开日期 | 2026-06-05 |
| 危害级别 | 中(av:n/ac:l/au:s/c:p/i:p/a:n) |
| 漏洞类型 | 跨站脚本(xss) |
| 影响产品 | wordpress auto thumbnail 插件 ≤ 1.0.0 |
| 攻击条件 | 需要至少订阅者权限(au:s 表示需要认证) |
| 官方补丁 | 暂无(厂商尚未提供修复方案) |
| 参考链接 | https://nvd.nist.gov/vuln/detail/cve-2026-8899 |
auto thumbnail 插件通过短代码
[athn_thumb]为文章生成缩略图。漏洞存在于短代码处理函数athn_thumbnails中,width和height属性未经过滤直接输出到标签的style或属性中,导致 xss。
二、 漏洞原理与危害
2.1 漏洞成因
athn_thumbnails 函数接收用户通过短代码传入的 width 和 height 参数,例如:
[athn_thumb width="100" height="100"]
函数直接将这两个参数的值拼接到 标签的 style="width: ...; height: ...;" 或类似属性中。由于未进行 html 实体编码或 css 上下文转义,攻击者可以注入恶意代码,例如:
[athn_thumb width="100px; background: ')" height="100"]
当页面渲染时,恶意脚本会在访客浏览器中执行。
2.2 攻击链路
- 攻击者以订阅者身份登录 wordpress(或通过其他方式获取低权限账号)。
- 在文章或页面中插入恶意短代码,并设置畸形的
width或height属性。 - 管理员或其他用户访问该页面时,恶意脚本在受害者浏览器中运行。
- 攻击者可窃取会话 cookie、伪造请求、篡改页面内容,甚至提升权限至管理员。
2.3 危害评估
- 信息泄露:窃取管理员 cookie,导致后台被接管。
- 页面篡改:注入虚假链接、广告、钓鱼表单,损害网站信誉。
- 持久化:恶意代码存储在文章中,影响所有访问者。
- seo 风险:搜索引擎检测到 xss 后可能将网站标记为“不安全”,导致排名下降。
三、 影响范围与修复状态
- 受影响版本:auto thumbnail 1.0.0 及所有更低版本。
- 安全版本:官方尚未发布任何补丁。
- 建议:所有使用该插件的网站应立即停用并卸载,直到官方提供修复。
四、 站长应急行动指南
4.1 立即停用插件
- 登录 wordpress 后台 → 插件 → 已安装插件。
- 找到 “auto thumbnail”,点击 “停用”。
- 停用后如不再需要,建议直接卸载删除。
4.2 寻找替代方案
如果需要自动缩略图功能,可选用仍在维护且安全的插件:
- auto featured image(支持设置默认缩略图)
- featured image from url(从外部 url 抓取缩略图)
- quick featured images(批量管理缩略图)
4.3 部署 web 应用防火墙(临时防护)
对于暂时无法停用该插件(如深度依赖)的场景,可通过 web 应用防火墙(waf)拦截 xss 攻击载荷。百度云防护 waf 内置了 xss 检测规则(属于基础防护引擎),可以:
- 拦截包含
javascript:、