WordPress Custom Twitter Feeds <=2.5.4 Unauthenticated Stored XSS (CVE-2026-6177)

漏洞总结：Custom Twitter Feeds <= 2.5.4 存储型跨站脚本漏洞 漏洞概述 漏洞名称：Custom Twitter Feeds <= 2.5.4 - Unauthenticated Stored Cross-Site Scripting via Cached Tweet Text CVE ID：CVE-2026-6177 CVSS 评分：7.2 (High) 漏洞类型：Improper Neutralization of Input During Web Page Generation (Cross-site Scripting) 发布日期：2026年5月12日 研究人员：gidget smith 详细描述： WordPress 插件 Custom Twitter Feeds 在 2.5.4 及更早版本中存在存储型跨站脚本 (Stored XSS) 漏洞。原因是 函数在渲染缓存推文文本时，未对未认证用户直接输出的缓存推文数据进行 HTML 转义。攻击者可以通过发布包含恶意内容的推文，利用站点配置中的缓存机制，将恶意 HTML/JavaScript 注入到缓存的推文数据中。当未认证用户访问受影响的页面时，恶意脚本将在浏览器中执行。 影响范围 软件类型：WordPress 插件 软件名称：Custom Twitter Feeds – A Tweets Widget or X Feed Widget 受影响版本：<= 2.5.4 已修复版本：2.5.5 修复方案 修复方法：将插件更新至版本 2.5.5 或更高版本。 相关漏洞 页面还列出了该插件的其他近期漏洞，包括： CVE-2025-1314: Cross-Site Request Forgery to Cache Reset (2025-03-19) CVE-2024-49685: Cross-Site Request Forgery (2024-10-21) CVE-2024-8983: Authenticated (Admin) Stored Cross-Site Scripting (2024-09-17) CVE-2024-0379: Cross-Site Request Forgery to Plugin Options Update (2024-02-06) CVE-2023-52138: Cross-Site Request Forgery (2023-12-28) CVE-2022-33974: Cross-Site Request Forgery (2023-05-25) (注：页面未提供具体的 POC 代码或利用代码)*

目標達成 すべての支援者に感謝 — 100%達成しました！

WordPress Custom Twitter Feeds <=2.5.4 Unauthenticated Stored XSS (CVE-2026-6177)

目標達成すべての支援者に感謝 — 100%達成しました！