wordpress 插件 auto thumbnail 跨站脚本漏洞(cve-澳门凯发

2026 年 6 月 5 日,国家信息安全漏洞共享平台(cnvd)收录了 wordpress 插件 auto thumbnail 的一个跨站脚本漏洞(cve-2026-8899)。该插件用于自动生成文章缩略图,安装量超过 2 万次。漏洞源于 athn_thumbnails 函数在处理短代码的 widthheight 属性时未进行充分的输入清理和输出转义,直接将用户输入拼接至 html 标签。攻击者可利用该漏洞在页面中注入任意 web 脚本,导致管理员 cookie 被盗、网站被篡改等风险。目前官方尚未发布修复补丁,建议使用该插件的 wordpress 用户立即停用,或部署 web 应用防火墙进行临时防护。


wordpress 插件 auto thumbnail 跨站脚本漏洞(cve-2026-8899):影响 ≤ 1.0.0,官方暂无补丁,建议立即停用或部署 waf

一、 漏洞核心信息

项目详情
cnvd 编号cnvd-2026-22803
cve 编号cve-2026-8899
公开日期2026-06-05
危害级别中(av:n/ac:l/au:s/c:p/i:p/a:n)
漏洞类型跨站脚本(xss)
影响产品wordpress auto thumbnail 插件 ≤ 1.0.0
攻击条件需要至少订阅者权限(au:s 表示需要认证)
官方补丁暂无(厂商尚未提供修复方案)
参考链接https://nvd.nist.gov/vuln/detail/cve-2026-8899

auto thumbnail 插件通过短代码 [athn_thumb] 为文章生成缩略图。漏洞存在于短代码处理函数 athn_thumbnails 中,widthheight 属性未经过滤直接输出到 标签的 style 或属性中,导致 xss。


二、 漏洞原理与危害

2.1 漏洞成因

athn_thumbnails 函数接收用户通过短代码传入的 widthheight 参数,例如:

[athn_thumb width="100" height="100"]

函数直接将这两个参数的值拼接到 标签的 style="width: ...; height: ...;" 或类似属性中。由于未进行 html 实体编码或 css 上下文转义,攻击者可以注入恶意代码,例如:

[athn_thumb width="100px; background: ')" height="100"]

当页面渲染时,恶意脚本会在访客浏览器中执行。

2.2 攻击链路

  1. 攻击者以订阅者身份登录 wordpress(或通过其他方式获取低权限账号)。
  2. 在文章或页面中插入恶意短代码,并设置畸形的 widthheight 属性。
  3. 管理员或其他用户访问该页面时,恶意脚本在受害者浏览器中运行。
  4. 攻击者可窃取会话 cookie、伪造请求、篡改页面内容,甚至提升权限至管理员。

2.3 危害评估

  • 信息泄露:窃取管理员 cookie,导致后台被接管。
  • 页面篡改:注入虚假链接、广告、钓鱼表单,损害网站信誉。
  • 持久化:恶意代码存储在文章中,影响所有访问者。
  • seo 风险:搜索引擎检测到 xss 后可能将网站标记为“不安全”,导致排名下降。

三、 影响范围与修复状态

  • 受影响版本:auto thumbnail 1.0.0 及所有更低版本。
  • 安全版本官方尚未发布任何补丁
  • 建议:所有使用该插件的网站应立即停用并卸载,直到官方提供修复。

四、 站长应急行动指南

4.1 立即停用插件

  1. 登录 wordpress 后台 → 插件 → 已安装插件。
  2. 找到 “auto thumbnail”,点击 “停用”
  3. 停用后如不再需要,建议直接卸载删除

4.2 寻找替代方案

如果需要自动缩略图功能,可选用仍在维护且安全的插件:

  • auto featured image(支持设置默认缩略图)
  • featured image from url(从外部 url 抓取缩略图)
  • quick featured images(批量管理缩略图)

4.3 部署 web 应用防火墙(临时防护)

对于暂时无法停用该插件(如深度依赖)的场景,可通过 web 应用防火墙(waf)拦截 xss 攻击载荷。百度云防护 waf 内置了 xss 检测规则(属于基础防护引擎),可以:

  • 拦截包含 javascript:
网站地图