# CVE-2026-40791:一个预约时段引发的 Admin XSS
我在 WordPress 的 WP Time Slots Booking Form 插件中发现了一个未授权的存储型 XSS。公开的预约提交内容控制了已存储时段值的一部分。该插件随后将该值输出到管理员的 Booking Orders 页面中,且未进行转义。
原理很简单:该插件使用字面空格来分割提交的预约字符串,但 HTML 会将标签名和属性之间的制表符视为空白字符。因此,`8:` 在插件的解析器中作为时段值保留了下来,并在管理员打开预约列表时变成了真实的 HTML 标签。
| | |
|---|---|
| CVE | CVE-2026-40791 |
| 插件 | WP Time Slots Booking Form |
| Slug | `wp-time-slots-booking-form` |
| 受影响版本 | `<= 1.2.46` |
| 已修复版本 | `1.2.47` |
| 漏洞类型 | 未授权存储型 XSS (CWE-79) |
| 影响 | 公开预约 -> 在 admin `wp-admin` 会话中执行 JavaScript |
| CVSS | 7.2 高危,7.1 (Patchstack) |
| 贡献者 | Daniel Wade |
## 太长不看
公开预约表单接受以下字段:
```
fieldname1_1=2026-04-15 8: 1 0 0 0 0 0 0
```
该插件对其进行如下解析:
```
$item_split = explode(' ', $app_item_text);
...
'slot' => $item_split[1],
```
由于分隔符是制表符而不是字面空格,`item_split[1]` 会变成:
```
8:
'.$data; // phpcs:ignore WordPress.Security.EscapeOutput
```
没有任何转义。SVG 标签的 `onload` 事件会在管理员页面中触发。
这不仅仅是“我能读取管理员的 cookie 吗?”的问题。现代 WordPress 的认证 cookie 通常是 `HttpOnly` 的,因此 `document.cookie` 可能无法获取到真实的 `wordpress_sec_*` cookie。关键在于,该脚本运行在经过认证的管理员源(admin-origin)页面中。它可以抓取同源的管理员页面、读取暴露的 nonce,并从受害者的浏览器发送经过认证的管理员请求。
## 漏洞详情
存在漏洞的流程如下:
```
unauthenticated POST
-> fieldname1_1
-> extract_appointments()
-> explode(' ', $input)[1]
-> $apps[]['slot']
-> serialize()
-> wp_cptslotsbk_messages.posted_data
-> unserialize()
-> Booking Orders appointment badge
-> unescaped HTML output
```
解析器假设该时段值只是纯文本。但事实并非如此。它是攻击者提供的输入,并最终会落入 HTML 上下文中。
存在漏洞的输出点(sink)位于 `cp-admin-int-message-list.inc.php`:
```
$appts .= '
' .
'' .
''.$this->format_date($posted_data["apps"][$k]["date"]).' '.$posted_data["apps"][$k]["slot"].'' .
...
echo $appts.'
'.$data; // phpcs:ignore WordPress.Security.EscapeOutput
```
那句 `phpcs:ignore WordPress.Security.EscapeOutput` 就是一切的根源。在输出受攻击者控制的预约数据时,转义警告被强行忽略了。
## 触发方式
Payload 的形式:
```
8:
```
为什么它能生效:
```
PHP explode(' ', ...)
"8:onload=...>" stays one token
Browser HTML parser
onload=...> becomes
标签:AI合规, Libemu, Web安全, WordPress插件, 应用安全, 文件完整性监控, 漏洞分析, 漏洞复现, 自动化分析, 蓝队分析, 跨站脚本, 路径探测