CVE-2026-3004WordPress的Snow Monkey Blocks插件在24.1.11及之前版本中存在存储型跨站脚本(XSS)漏洞。该漏洞源于插件对'data-slick'属性的处理缺乏足够的输入清理和输出转义机制。拥有Contributor(投稿者)级别及以上权限的认证攻击者可利用此漏洞,在受影响的页面中注入任意恶意Web脚本。一旦普通用户访问了这些被篡改的页面,嵌入的脚本将在其浏览器中自动执行,进而可能导致用户敏感信息窃取、会话劫持或进一步的客户端攻击。
该漏洞属于典型的存储型跨站脚本攻击(Stored XSS)。其根本原因在于Snow Monkey Blocks插件在处理用户输入时,未对'data-slick'属性中的数据进行严格的输入验证和消毒,同时在输出到HTML页面时也缺乏必要的上下文感知转义。具体利用过程中,攻击者首先需要获得WordPress站点至少Contributor级别的账户权限。登录后台后,攻击者编辑文章或页面,利用受影响的区块功能,在'data-slick'属性字段中注入JavaScript代码。由于插件未过滤此特定属性,恶意载荷会被存储在数据库中。当管理员或其他访客访问该发布页面时,服务器会读取数据库中的恶意内容并直接渲染到前端HTML中。浏览器解析到未转义的恶意脚本后立即执行。由于攻击者无需诱骗用户进行特定交互(UI:N),只要浏览页面即触发,因此具有较高的隐蔽性和危害性,常用于窃取Cookie或进行重定向攻击。