漏洞总结:Accessibly <= 3.0.3 存储型 XSS 漏洞 漏洞概述 漏洞名称:Accessibly <= 3.0.3 - Missing Authorization to Unauthenticated Stored Cross-Site Scripting via Widget Source Injection via REST API CVSS 评分:7.2 漏洞类型:存储型跨站脚本(Stored XSS) 触发方式:通过 REST API 注入恶意脚本到 widget 配置中 影响机制:攻击者可通过修改 选项指向恶意外部脚本,所有访问该页面的用户都会执行该脚本 影响范围 受影响软件:Accessibly – WordPress Website Accessibility 受影响版本:<= 3.0.3 软件类型:WordPress 插件 软件 Slug:otm-accessibly 是否已修复:否(No) 修复方案 当前状态:暂无官方补丁 建议措施: - 深入审查漏洞详情 - 根据组织风险容忍度采取缓解措施 - 建议卸载受影响软件并寻找替代方案 技术细节 漏洞端点: - - 攻击向量:未授权访问 REST API,注入任意 JavaScript 到前端页面 参考链接 plugins.trac.wordpress.org(多个相关链接) 发布日期 首次公开:2026年4月14日 最后更新:2026年4月15日 研究人员 chaeyo – Reconix Ronnachai Sertwatt Na Ayutaya (Simonthakelly) – Reconix Co., Ltd. Ronnachai Chapha (xnn) – Reconix Co., Ltd.