Webling <= 3.9.0 存储型XSS漏洞CVE-2026-1263

WordPress Webling 插件是由 uSystems 开发的 WordPress 官方插件，该插件核心作用是打通 WordPress 与 Webling 协会管理系统。

一、基本清空

Webling 是用于 WordPress 的成员管理集成插件，实现会员数据双向同步与展示，允许用户在站点上同步和显示 Webling 的成员数据。

Webling专为协会、社团、非营利组织设计，提供会员列表展示与在线注册表单两大核心能力，无需手动同步会员数据，以为降低成本。

Webling 插件是连接网站与会员后台的核心桥梁，但必须搭配 Webling Basic 及以上版本使用（免费版无 API 权限），无法独立工作。

栋科技漏洞库关注到 Webling 在 3.9.0 及之前版本中存在的存储型XSS漏洞，该漏洞被追踪为CVE-2026-1263，CVSS 3.1 评分为6.4。

二、漏洞分析

CVE-2026-1263是 WordPress Webling 插件在 3.9.0 及之前版本存在的存储型XSS漏洞，可能导致管理员会话被接管或敏感信息泄露。

该漏洞源于webling_admin_save_form与webling_admin_save_memberlist函数存在输入净化不足、输出转义缺失及权限检查缺失问题。

该漏洞源于插件在处理 webling_admin_save_form 和 webling_admin_save_memberlist 函数时，未对用户输入进行充分的清理和过滤。

此外，这些关键函数还存在权限检查（Capability Checks）缺失的问题。

这使得拥有订阅者（Subscriber）及更高权限的已认证攻击者可注入包含任意网页恶意的 JavaScript 脚本的 Webling 表单与成员列表。

该脚本会在管理员访问 WordPress 后台中对应的表单或成员列表页面时执行。

当管理员访问后台表单或成员列表管理区域时，恶意代码将在管理员的浏览器上下文中执行，导致管理员会话被接管或敏感信息泄露。

三、影响范围

Webling <= 3.9.0

四、修复建议

Webling > 3.9.0

五、参考链接

管理员已设置登录后刷新可查看