2026 年 6 月 5 日,国家信息安全漏洞共享平台(CNVD)收录了 WordPress 插件 Auto Thumbnail 的一个跨站脚本漏洞(CVE-2026-8899)。该插件用于自动生成文章缩略图,安装量超过 2 万次。漏洞源于
athn_thumbnails函数在处理短代码的width和height属性时未进行充分的输入清理和输出转义,直接将用户输入拼接至 HTML<img>标签。攻击者可利用该漏洞在页面中注入任意 Web 脚本,导致管理员 Cookie 被盗、网站被篡改等风险。目前官方尚未发布修复补丁,建议使用该插件的 WordPress 用户立即停用,或部署 Web 应用防火墙进行临时防护。
一、 漏洞核心信息
| 项目 | 详情 |
|---|---|
| CNVD 编号 | CNVD-2026-22803 |
| CVE 编号 | CVE-2026-8899 |
| 公开日期 | 2026-06-05 |
| 危害级别 | 中(AV:N/AC:L/Au:S/C:P/I:P/A:N) |
| 漏洞类型 | 跨站脚本(XSS) |
| 影响产品 | WordPress Auto Thumbnail 插件 ≤ 1.0.0 |
| 攻击条件 | 需要至少订阅者权限(Au:S 表示需要认证) |
| 官方补丁 | 暂无(厂商尚未提供修复方案) |
| 参考链接 | https://nvd.nist.gov/vuln/detail/CVE-2026-8899 |
Auto Thumbnail 插件通过短代码
[athn_thumb]为文章生成缩略图。漏洞存在于短代码处理函数athn_thumbnails中,width和height属性未经过滤直接输出到<img>标签的style或属性中,导致 XSS。
二、 漏洞原理与危害
2.1 漏洞成因
athn_thumbnails 函数接收用户通过短代码传入的 width 和 height 参数,例如:
[athn_thumb width="100" height="100"]函数直接将这两个参数的值拼接到 <img> 标签的 style="width: ...; height: ...;" 或类似属性中。由于未进行 HTML 实体编码或 CSS 上下文转义,攻击者可以注入恶意代码,例如:
[athn_thumb width="100px; background: url('javascript:alert(1)')" height="100"]当页面渲染时,恶意脚本会在访客浏览器中执行。
2.2 攻击链路
- 攻击者以订阅者身份登录 WordPress(或通过其他方式获取低权限账号)。
- 在文章或页面中插入恶意短代码,并设置畸形的
width或height属性。 - 管理员或其他用户访问该页面时,恶意脚本在受害者浏览器中运行。
- 攻击者可窃取会话 Cookie、伪造请求、篡改页面内容,甚至提升权限至管理员。
2.3 危害评估
- 信息泄露:窃取管理员 Cookie,导致后台被接管。
- 页面篡改:注入虚假链接、广告、钓鱼表单,损害网站信誉。
- 持久化:恶意代码存储在文章中,影响所有访问者。
- SEO 风险:搜索引擎检测到 XSS 后可能将网站标记为“不安全”,导致排名下降。
三、 影响范围与修复状态
- 受影响版本:Auto Thumbnail 1.0.0 及所有更低版本。
- 安全版本:官方尚未发布任何补丁。
- 建议:所有使用该插件的网站应立即停用并卸载,直到官方提供修复。
四、 站长应急行动指南
4.1 立即停用插件
- 登录 WordPress 后台 → 插件 → 已安装插件。
- 找到 “Auto Thumbnail”,点击 “停用”。
- 停用后如不再需要,建议直接卸载删除。
4.2 寻找替代方案
如果需要自动缩略图功能,可选用仍在维护且安全的插件:
- Auto Featured Image(支持设置默认缩略图)
- Featured Image from URL(从外部 URL 抓取缩略图)
- Quick Featured Images(批量管理缩略图)
4.3 部署 Web 应用防火墙(临时防护)
对于暂时无法停用该插件(如深度依赖)的场景,可通过 Web 应用防火墙(WAF)拦截 XSS 攻击载荷。百度云防护 WAF 内置了 XSS 检测规则(属于基础防护引擎),可以:
- 拦截包含
javascript:、<script>、事件处理器(如onerror=、onload=)以及 CSS 表达式等恶意特征的请求。 - 即使插件存在漏洞,WAF 可在网络层阻断攻击者的注入尝试,为修复争取时间。
- 支持 JA4 指纹和 IP 情报库,封杀自动化 XSS 扫描器。
配置建议:
- 确保 WAF 基础防护策略集为“中级”或“高级”(默认开启 XSS 防护)。
- 对于已知攻击特征,可添加自定义规则,例如匹配
width\s*=\s*['"].*?javascript:。
五、 总结
Auto Thumbnail 插件的 XSS 漏洞(CVE-2026-8899)虽被评定为中危,但官方至今未发布补丁,所有使用 ≤1.0.0 版本的 WordPress 网站都存在被攻击的风险。攻击者只需一个低权限账号即可注入恶意脚本,从而窃取管理员权限或篡改页面。最彻底的解决方案是停用并卸载该插件。若无法替换,请务必部署专业的 WAF(如百度云防护)进行临时防护,并及时关注官方更新动态。
如果你需要协助排查网站是否受此漏洞影响,或希望为 WordPress 站点部署专业的 WAF 防护,欢迎联系 主机吧。我们提供免费安全评估和防护方案。
主机吧 | 百度云防护官方合作伙伴
提供 WAF 接入、高防 CDN、高防 IP、SSL 证书服务
让 XSS 攻击无处遁形,让每一个 WordPress 网站都安全放心。
