CVE-2026-2902 CVSS 6.1 中危

CVE-2026-2902 WP Meteor插件存储型XSS漏洞

披露日期: 2026-04-29

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-2902

漏洞类型

存储型跨站脚本 (Stored XSS)

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WP Meteor Website Speed Optimization Addon (WordPress Plugin)

漏洞概述

WordPress WP Meteor 插件存在存储型XSS漏洞。由于'frontend_rewrite'函数对'WPMETEOR[N]WPMETEOR'占位符内容的输入清理和输出转义不足，未认证攻击者可注入恶意脚本，当用户访问受影响页面时触发执行，导致窃取敏感信息。

技术细节

该漏洞位于 WP Meteor 插件的 frontend_rewrite 函数中。插件在处理前端页面重写时，会解析名为 'WPMETEOR[N]WPMETEOR' 的特定占位符，并将其内容动态输出到页面中。由于开发人员未对该占位符内的用户提供内容执行充分的输入验证（Sanitization）和安全上下文输出转义（Escaping），攻击者无需经过身份认证即可构造包含恶意 JavaScript 代码的 payload。一旦 payload 被注入并存储，当管理员或普通用户访问包含该恶意占位符内容的页面时，脚本将在其浏览器中自动执行。这可能导致攻击者劫持用户会话、窃取 Cookie 或进行钓鱼攻击。

攻击链分析

STEP 1

1. 侦察

攻击者识别目标站点是否安装了 WP Meteor 插件且版本在 3.4.16 及以下。

STEP 2

2. 武器化

攻击者构造包含恶意 JavaScript 代码的 payload，并封装在 'WPMETEOR[N]...WPMETEOR' 占位符结构中。

STEP 3

3. 投递

攻击者向目标站点发送请求，将恶意 payload 注入到利用 frontend_rewrite 函数的输入点（无需认证）。

STEP 4

4. 利用

插件将未经过滤的 payload 存储到数据库或页面配置中。

STEP 5

5. 执行

当受害者（管理员或用户）访问受感染的页面时，浏览器解析并执行注入的恶意脚本。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2026-2902: Stored XSS in WP Meteor
// Vulnerability: Insufficient sanitization of 'WPMETEOR[N]WPMETEOR' placeholder

// 1. The attacker sends a request containing the malicious payload
// in the parameter that gets processed by frontend_rewrite.

var payload = '<img src=x onerror=alert(1)>';
var vulnerableInput = 'WPMETEOR[1]' + payload + 'WPMETEOR';

// 2. The payload is stored via the vulnerable plugin function.
// (Conceptual HTTP request)
/*
POST /wp-admin/admin-ajax.php HTTP/1.1
Host: target.com
Content-Type: application/x-www-form-urlencoded

action=wp_meteor_update&data=encodeURIComponent(vulnerableInput)
*/

// 3. When a user visits the affected page, the plugin processes the placeholder.
// The script executes in the victim's browser context.

影响范围

WP Meteor Website Speed Optimization Addon <= 3.4.16

防御指南

临时缓解措施

由于该漏洞无需认证即可利用，建议立即禁用插件直至完成更新。同时，可部署 Web 应用防火墙（WAF）规则，以拦截包含 'WPMETEOR' 及常见 XSS 模式的恶意请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表