漏洞总结 漏洞概述 在 WordPress 插件 Shortcodes Ultimate 的 文件中存在跨站脚本攻击(XSS)漏洞。攻击者可以通过构造恶意的 参数(短代码属性),在未经过安全过滤的情况下直接输出到 HTML 属性中,从而注入恶意脚本。 影响范围 插件名称: Shortcodes Ultimate 受影响文件: 受影响版本: 在 Changelog 3489360 (2026/03/23) 之前的版本。 修复方案 开发者在输出 变量之前,增加了 函数进行清洗,并强制将数值类型的宽度转换为带有 单位的格式,防止 CSS 注入或 XSS 攻击。 关键代码变更 (Diff) 修复前 (存在漏洞的代码): 修复后 (安全代码):**