2026 年 6 月 5 日,国家信息安全漏洞共享平台(CNVD)收录了 WordPress 插件 BitForm 的一个跨站脚本漏洞(CVE-2026-8891)。该插件用于创建表单,安装量超过 1 万次。由于插件在处理
width和height属性时未进行充分的输入清理和输出转义,攻击者可利用该漏洞在页面中注入任意 Web 脚本,导致敏感信息泄露或网站被篡改。目前官方尚未发布修复补丁,建议使用该插件的 WordPress 用户立即停用,或部署 Web 应用防火墙进行临时防护。
一、 漏洞核心信息
| 项目 | 详情 |
|---|---|
| CNVD 编号 | CNVD-2026-22804 |
| CVE 编号 | CVE-2026-8891 |
| 公开日期 | 2026-06-05 |
| 危害级别 | 中(AV:N/AC:L/Au:S/C:P/I:P/A:N) |
| 漏洞类型 | 跨站脚本(XSS) |
| 影响产品 | WordPress BitForm 插件 ≤ 1.1.0 |
| 攻击条件 | 需要具备订阅者或更高权限(Au:S 表示需要认证) |
| 官方补丁 | 暂无(厂商尚未提供修复方案) |
| 参考链接 | https://nvd.nist.gov/vuln/detail/CVE-2026-8891 |
BitForm 是一个可视化表单构建插件,允许用户通过短代码嵌入表单。漏洞存在于
Shortcode::shortcode函数中,width和height属性未经过滤直接插入到<iframe>标签的style属性中,导致 XSS。
二、 漏洞原理与危害
2.1 漏洞成因
Shortcode::shortcode 函数在生成表单的 HTML 代码时,将用户提供的 width 和 height 属性值直接拼接到 style 属性中,既没有进行 HTML 实体编码,也没有进行 CSS 上下文过滤。攻击者可以构造类似 100px; background: url('javascript:alert(1)') 的恶意值,注入到样式属性中,实现任意 JavaScript 执行。
// 简化后的漏洞代码
$width = $_GET['width']; // 用户输入,未过滤
$height = $_GET['height'];
echo "<iframe style='width: {$width}; height: {$height};' ...></iframe>";2.2 攻击链路
- 攻击者以订阅者身份登录 WordPress(或通过其他漏洞获取低权限)。
- 在页面中嵌入 BitForm 短代码,并设置恶意的
width或height参数。 - 当管理员或普通访客访问该页面时,恶意脚本在受害者浏览器中执行。
- 攻击者可能窃取 Cookie、会话令牌,从而提升权限、篡改页面内容,甚至进一步获取后台控制权。
2.3 危害评估
- 信息泄露:窃取管理员 Cookie,伪造身份执行后台操作。
- 页面篡改:注入虚假表单、广告、钓鱼链接,损害网站信誉。
- 持久化 XSS:将恶意脚本永久存储在数据库中,影响所有访问者。
三、 影响范围与修复状态
- 受影响版本:BitForm 1.1.0 及所有更低版本。
- 安全版本:官方尚未发布任何补丁。
- 建议:所有使用该插件的网站应立即停用并卸载,直到官方提供修复。
四、 站长应急行动指南
4.1 立即停用插件
- 登录 WordPress 后台 → 插件 → 已安装插件。
- 找到 “BitForm”,点击 “停用”。
- 停用后如不再需要,建议直接卸载删除。
4.2 寻找替代方案
如果需要表单功能,可选用维护良好、没有已知未修复漏洞的插件:
- Contact Form 7(广泛使用,安全更新及时)
- WPForms Lite(功能丰富,免费版足够)
- Elementor(自带表单模块)
4.3 部署 Web 应用防火墙(临时防护)
对于暂时无法停用该插件(如涉及大量历史数据)的场景,可通过 Web 应用防火墙(WAF)拦截可能的 XSS 攻击载荷。百度云防护 WAF 内置了 XSS 检测规则(属于基础防护引擎),可以:
- 拦截包含可疑 CSS 表达式、
javascript:伪协议、事件处理器等恶意特征的请求。 - 即使插件存在漏洞,WAF 可在网络层阻断攻击者的注入尝试,为修复争取时间。
- 支持 JA4 指纹和 IP 情报库,封杀自动化 XSS 扫描器。
配置建议:
- 确保 WAF 基础防护策略集为“中级”或“高级”(默认开启 XSS 防护)。
- 对于已知攻击特征,可添加自定义规则(如匹配
style='.*?(javascript|expression|url\()`)。 - 若无条件部署 WAF,也可通过服务器层面禁用短代码执行或限制
iframe属性。
五、 总结
BitForm 插件的 XSS 漏洞虽然 CVSS 评分只有中危,但由于官方至今未发布补丁,所有使用 ≤1.1.0 版本的 WordPress 网站都处于风险之中。攻击者只要有最低权限(如订阅者),即可注入恶意脚本,窃取管理员权限或篡改页面。最彻底的解决方案是停用并卸载该插件。如果因业务原因无法替换,请务必部署专业的 WAF(如百度云防护)进行临时防护,并及时关注官方更新动态。
如果你需要协助排查网站是否受此漏洞影响,或希望为 WordPress 站点部署专业的 WAF 防护,欢迎联系 主机吧。我们提供免费安全评估和防护方案。
主机吧 | 百度云防护官方合作伙伴
提供 WAF 接入、高防 CDN、高防 IP、SSL 证书服务
让 XSS 攻击无处遁形,让每一个 WordPress 网站都安全放心。
