WordPress插件List View Google Calendar XSS漏洞（CVE-2026-2396）

漏洞简介

漏洞编号：CVE-2026-2396

漏洞名称：WordPress plugin List View Google Calendar跨站脚本漏洞

公开时间：2026-04-18

漏洞类型：跨站脚本（XSS）

漏洞等级：高危

产品简介

List View Google Calendar是一款运行在WordPress平台的功能插件，主要用于帮助网站管理员将谷歌日历的日程活动以列表形式展示在网站前台，方便访客浏览获取各类日程、活动信息。该插件广泛应用于个人博客、企业官网等各类基于WordPress搭建的站点。

官网/仓库地址：

https://wordpress.org/plugins/list-view-google-calendar/

漏洞描述
该漏洞存在于List View Google Calendar 7.4.3及更早版本中，漏洞成因是插件对用户可控输入未做充分的输入清理，同时将内容输出到前端页面时也缺少足够的HTML转义处理，导致恶意脚本可以被注入存储到站点中。利用该漏洞需要攻击者拥有WordPress站点的已认证权限，成功利用后恶意脚本会在普通访客访问对应页面时自动执行，攻击者可借此窃取用户会话Cookie、篡改网页内容、实施钓鱼攻击，利用难度较低。
影响范围
受影响版本：WordPress plugin List View Google Calendar <= 7.4.3不受影响版本：暂无

漏洞 POC
暂无公开 POC

修复与自查
官方修复方案：暂无官方修复方案发布，请关注插件官方更新动态，待修复版本发布后及时升级。
临时缓解措施：暂时禁用List View Google Calendar插件，也可通过网站Web应用防火墙拦截包含恶意脚本特征的请求，降低漏洞被利用的风险。
自查建议：登录WordPress后台的插件管理页面，查看当前安装的List View Google Calendar插件版本号，若版本号小于等于7.4.3则属于受影响范围，需要做好防护或等待官方修复。
参考链接
[1]https://nvd.nist.gov/vuln/detail/CVE-2026-2396[2]https://stack.chaitin.com/vuldb/detail/dbdb029d-3bd9-4503-bef0-01da84c2793f