发布日期：2026-02-14
更新日期：2026-05-21

受影响系统：

WordPress plugin Allow HTML in Category Descriptions <= 1.2.4

描述：

---

CVE(CAN) ID: CVE-2026-0693

WordPress和WordPress plugin都是WordPress基金会的产品，WordPress是一套使用PHP语言开发的博客平台，该平台具有在基于PHP和MySQL的服务器上架设个人博客网站的功能，WordPress plugin是一个应用插件。
WordPress plugin Allow HTML in Category Descriptions 1.2.4及之前版本存在跨站脚本漏洞，该漏洞源于插件无权限判定，直接移除了分类描述、链接描述、用户描述等字段的安全过滤函数wp_kses_data，攻击者可利用该漏洞在分类描述中注入恶意脚本，用户访问展示分类描述的页面时脚本即可执行。

<**>

建议：

---

厂商补丁：

WordPress
---------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://plugins.trac.wordpress.org/browser/allow-html-in-category-descriptions/tags/1.2.4/html-in-category-descriptions.php#L23

浏览次数：85
严重程度：0（网友投票）